PT-2022-20537 · Unknown · Parse Server
Mtrezza
·
Publicado
2022-06-30
·
Atualizado
2024-03-06
·
CVE-2022-31112
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
Parse Server (versões afetadas não especificadas)
Descrição
O problema diz respeito ao Parse Server LiveQuery, que, nas versões afetadas, não remove campos protegidos nas classes, passando-os para o cliente. Isso foi corrigido pelo LiveQueryController, que agora remove os campos protegidos da resposta enviada ao cliente. Recomenda-se que os usuários atualizem o software para resolver o problema. Para aqueles que não puderem atualizar, recomenda-se usar
Parse.Cloud.afterLiveQueryEvent para remover manualmente os campos protegidos como solução alternativa.Recomendações
Para resolver o problema, os usuários devem atualizar para uma versão em que o LiveQueryController remova os campos protegidos da resposta do cliente.
Como solução alternativa temporária, considere usar
Parse.Cloud.afterLiveQueryEvent para remover manualmente os campos protegidos até que um patch seja aplicado.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Server