CVE-2021-39138

Versões do Parse Server anteriores à 4.5.1

O problema ocorre quando um usuário anônimo se cadastra pela primeira vez usando a API REST, fazendo com que o servidor crie uma sessão incorretamente. Especificamente, o campo authProvider na classe Session sob createdWith mostra o usuário como conectado com uma senha. Essa classificação incorreta afeta desenvolvedores que dependem do campo createdWith para fornecer diferentes níveis de acesso entre usuários com senha e usuários anônimos. Atualmente, o servidor não usa createdWith para tomada de decisões internas, portanto, desenvolvedores que não o utilizam diretamente não são afetados.

Para versões anteriores à 4.5.1, atualize para a versão 4.5.1 para resolver o problema.

Como solução alternativa temporária, não use o campo createdWith da sessão para tomar decisões se o login anônimo for permitido.