PT-2022-3535 · Unknown · Parse Server
Mtrezzapublished
+1
·
Publicado
2022-06-17
·
Atualizado
2024-03-06
·
CVE-2022-31083
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 4.10.11 e à 5.2.2
Descrição
O problema está relacionado à falta de validação do certificado no adaptador de autenticação do Parse Server para o Apple Game Center. Isso poderia permitir que a autenticação fosse contornada, tornando um certificado falso acessível por meio de determinados domínios da Apple e fornecendo a URL desse certificado em um objeto
authData.Recomendações
Para versões anteriores à 4.10.11 e à 5.2.2, atualize para a versão 4.10.11 ou 5.2.2 para introduzir uma nova propriedade
rootCertificateUrl no adaptador de autenticação do Parse Server para o Apple Game Center, que recebe a URL do certificado raiz do certificado de autenticação do Apple Game Center. Certifique-se de que a propriedade rootCertificateUrl seja mantida atualizada, pois o certificado raiz pode mudar a qualquer momento.Exploit
Correção
Improper Authentication
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Server