PT-2021-22444 · Unknown · Parse Server+1
Kartal Kaan Bozdoğan
·
Publicado
2021-09-02
·
Atualizado
2024-03-06
·
CVE-2021-39187
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 4.10.3
Descrição
O problema ocorre quando uma solicitação de consulta contém um valor inválido para a opção
explain, fazendo com que o Parse Server trave devido a um bug no driver MongoDB para Node.js que gera uma exceção que o Parse Server não consegue interceptar.Recomendações
Para versões anteriores à 4.10.3, atualize para o Parse Server 4.10.3 para resolver o problema. Como solução temporária, considere evitar o uso da opção
explain em solicitações de consulta até que o patch seja aplicado.Correção
Improper Handling of Exceptional Conditions
RCE
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mongodb Node.Js Driver
Parse Server