PT-2024-32465 · Unknown · Parse Server
Kartal Kaan Bozdoğan
+1
·
Publicado
2024-10-04
·
Atualizado
2026-02-25
·
CVE-2024-47183
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Parse Server anteriores à 6.5.9
Versões do Parse Server anteriores à 7.3.0
Descrição
O problema ocorre quando a opção do Parse Server
allowCustomObjectId: true está definida, permitindo que um invasor crie um novo usuário com um ID de objeto personalizado que explora a vulnerabilidade e adquire privilégios de uma função específica.Recomendações
Para versões anteriores à 6.5.9, atualize para a versão 6.5.9 ou posterior para resolver o problema.
Para versões anteriores à 7.3.0, atualize para a versão 7.3.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar IDs de objeto personalizados definindo
allowCustomObjectId: false.Como alternativa, use um Cloud Code Trigger para validar se o ID de objeto de um novo usuário não começa com o prefixo
role:.Exploit
Correção
Improper Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Server