PT-2021-23094 · Unknown · Parse Server
Dblythy
·
Publicado
2021-09-30
·
Atualizado
2024-03-06
·
CVE-2021-41109
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 4.10.4
Descrição
O problema diz respeito à exposição de tokens de sessão em cargas de dados do LiveQuery para usuários com uma assinatura do LiveQuery na classe
Parse.User. Normalmente, os tokens de sessão são removidos das respostas para consultas regulares, mas isso não acontecia com as cargas de dados do LiveQuery antes da correção. Isso significa que todos os tokens de sessão criados durante o cadastro de usuários seriam transmitidos como parte da carga de dados do LiveQuery, comprometendo potencialmente a privacidade do usuário. Um patch na versão 4.10.4 resolve isso removendo os tokens de sessão da carga de dados do LiveQuery.Recomendações
Para versões anteriores à 4.10.4, atualize para a versão 4.10.4 ou posterior para remover os tokens de sessão das cargas de dados do LiveQuery.
Como solução alternativa temporária para versões anteriores à 4.10.4, defina
user.acl(new Parse.ACL()) em um gatilho beforeSave para tornar o usuário privado já no momento do cadastro.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server