CVE-2022-24760

Versões do Parse Server anteriores à 4.10.7

O problema é uma vulnerabilidade de execução remota de código (RCE) no Parse Server, que afeta a configuração padrão com o MongoDB. A principal falha é o código vulnerável à contaminação de protótipos no arquivo DatabaseController.js, o que também pode afetar o Postgres e outros back-ends de banco de dados. Esta vulnerabilidade foi confirmada no Linux (Ubuntu) e no Windows.

Atualize para o Parse Server >=4.10.7.

Se você estiver usando uma versão pré-lançamento do Parse Server 5.0 (alfa, beta), aguarde uma correção oportuna.

Como solução temporária, considere aplicar o patch no driver MongoDB Node.js e desativar a execução de código BSON adicionando o código fornecido para ser executado antes de iniciar o Parse Server.

Para evitar a poluição de protótipos JavaScript, um novo recurso de segurança verifica se há palavras-chave confidenciais nos dados da solicitação, e você pode substituir as palavras-chave padrão definindo a nova opção do Parse Server requestKeywordDenylist como [] e especificando suas próprias palavras-chave conforme necessário.