PT-2024-22680 · Unknown · Parse Server
Mtrezza
·
Publicado
2024-03-19
·
Atualizado
2025-12-17
·
CVE-2024-29027
CVSS v3.1
9.0
Crítica
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 6.5.5
Versões do Parse Server anteriores à 7.0.0-alpha.29
Descrição
O Parse Server, um backend de código aberto para Node.js, é afetado por uma falha na qual a chamada de um nome inválido de Cloud Function ou Cloud Job pode causar a falha do servidor. Isso pode potencialmente levar à injeção de código, manipulação do armazenamento interno ou execução remota de código. A exploração requer o uso do método
startJob com parâmetros controláveis externamente. A correção nas versões 6.5.5 e 7.0.0-alpha.29 adiciona sanitização de strings para nomes de Cloud Function e Cloud Job.Recomendações
Para versões anteriores à 6.5.5, sanitize o nome da Cloud Function e o nome do Cloud Job antes que eles cheguem ao Parse Server.
Para versões anteriores à 7.0.0-alpha.29, sanitize o nome da Cloud Function e o nome do Cloud Job antes que eles cheguem ao Parse Server.
Exploit
Correção
RCE
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Server