CVE-2020-5251

Versões do parser-server anteriores à 4.1.0

A vulnerabilidade permite recuperar todos os objetos de usuário utilizando expressões regulares (regex) na consulta NoSQL, visando especificamente o sessionToken. Isso pode ser feito através do endpoint da API “/parse/users/me”, utilizando uma expressão regular na variável sessionToken, como ‘ SessionToken’:{“$regex”:“r:027f”}. Além disso, vulnerabilidades semelhantes existem nas funcionalidades de verificação de e-mail e solicitação de redefinição de senha, nas quais um invasor pode usar expressões regulares no parâmetro token para verificar uma conta ou redefinir uma senha, por exemplo, acessando o endpoint http://localhost:1337/parse/apps/kickbox/verify email?token[$regex]=a& username=some@email.com ou http://localhost:1337/parse/apps/kickbox/request password reset?token[$regex]=a&username=some@email.com. Esse método permite a recuperação de contas sem a interação do usuário.

Para versões do parser-server anteriores à 4.1.0, atualize para a versão 4.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de consulta NoSQL e limitar o uso de expressões regulares na variável sessionToken até que um patch seja aplicado. Além disso, restrinja o acesso aos endpoints de verificação de e-mail e solicitação de redefinição de senha para minimizar o risco de exploração.