CVE-2022-39231

Versões do Parse Server anteriores à 4.10.16

Versões do Parse Server de 5.0.0 a 5.2.6

O problema diz respeito à validação do ID do aplicativo do adaptador de autenticação para o Facebook e o Spotify. Em configurações afetadas, nas quais appIds é definido como uma string em vez de uma matriz de strings, um invasor pode autenticar solicitações de um aplicativo com um ID de aplicativo diferente daquele especificado na configuração appIds. Isso pode ocorrer se o invasor receber do provedor de autenticação um ID de aplicativo que seja um subconjunto do ID de aplicativo configurado no lado do servidor. Tanto o adaptador do Facebook quanto o do Spotify continuam validando o token de acesso com o respectivo provedor de autenticação.

Para versões do Parse Server anteriores à 4.10.16, atualize para a versão 4.10.16 ou posterior.

Para versões do Parse Server de 5.0.0 a 5.2.6, atualize para a versão 5.2.7 ou posterior.

Como solução alternativa temporária, considere definir appIds como uma matriz de strings em vez de uma string para evitar exploração.

Restrinja o acesso ao adaptador de autenticação para o Facebook e o Spotify para minimizar o risco de exploração.