PT-2022-26110 · Unknown · Parse Server
Cristian-Alexandru Staicu
+2
·
Publicado
2022-11-09
·
Atualizado
2026-03-10
·
CVE-2022-41878
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 4.10.19
Versões do Parse Server anteriores à 5.3.2
Descrição
A vulnerabilidade permite que palavras-chave especificadas na opção
requestKeywordDenylist sejam injetadas por meio de Webhooks ou Triggers do Cloud Code, fazendo com que a palavra-chave seja salva no banco de dados e contorne a opção requestKeywordDenylist. Isso pode ser explorado por meio de solicitações à API do Cloud Code Webhooks. Para mitigar isso, pode ser útil configurar o firewall para permitir que apenas servidores confiáveis façam solicitações à API do Parse Server Cloud Code Webhooks ou bloquear completamente a API se ela não estiver em uso.Recomendações
Para versões anteriores à 4.10.19, atualize para a versão 4.10.19 ou posterior.
Para versões anteriores à 5.3.2, atualize para a versão 5.3.2 ou posterior.
Como solução alternativa temporária, considere configurar seu firewall para permitir que apenas servidores confiáveis façam solicitações à API Parse Server Cloud Code Webhooks ou bloquear a API completamente se você não estiver usando o recurso.
Exploit
Correção
Special Elements Injection
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Server