CVE-2020-15270

Parse Server versão 4.3.0

A falha permite que clientes com sessões expiradas continuem recebendo objetos de assinatura, pois o Parse Server transmite eventos a todos os clientes sem verificar se o token de sessão é válido. Não é possível criar objetos de assinatura com tokens de sessão inválidos. O problema decorre de dois caches existentes para o token de sessão: um no nível do Parse Server e outro no nível do Parse Live Query. A opção cacheTTL no nível do Parse Server não tem efeito sobre o Live Query Server, e a opção cacheTimeout no nível do Live Query Server também não tem efeito e, na verdade, tem como padrão 1 hora.

Para a versão 4.3.0 do Parse Server, a fim de resolver o problema, considere ajustar a opção cacheTTL e liveQueryServerOptions.cacheTimeout para um valor menor, como 5 segundos, para minimizar o intervalo de tempo durante o qual clientes com sessões expiradas podem receber objetos de assinatura. Além disso, certifique-se de que o Live Query Server verifique adequadamente a validade da sessão para impedir o acesso não autorizado. Como solução alternativa temporária, considere implementar um mecanismo para verificar periodicamente se a sessão existe e é válida para clientes conectados via Live Query Server.