PT-2022-23167 · Unknown · Parse Server
Mtrezza
+1
·
Publicado
2022-09-07
·
Atualizado
2024-03-06
·
CVE-2022-36079
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 4.10.14
Versões do Parse Server anteriores à 5.2.5
Descrição
Campos internos (chaves utilizadas internamente pelo Parse Server, precedidas pelo prefixo
) e campos protegidos (definidos pelo usuário) podem ser utilizados como restrições de consulta. Esses campos são removidos pelo Parse Server e só são retornados ao cliente usando uma chave mestra válida. No entanto, usando restrições de consulta, esses campos podem ser adivinhados por enumeração até que o Parse Server retorne um objeto de resposta. A vulnerabilidade pode ser explorada usando o objeto query. where para adivinhar campos internos e protegidos.Recomendações
Para versões anteriores à 4.10.14, atualize para a versão 4.10.14 ou posterior.
Para versões anteriores à 5.2.5, atualize para a versão 5.2.5 ou posterior.
Como solução alternativa temporária, implemente um Parse Cloud Trigger
beforeFind e remova manualmente as restrições de consulta, como excluir chaves que começam com do objeto query. where.Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server