开源项目为iOS,MACOS,Android和TVO提供推送通知功能
Parse服务器中的一个安全漏洞,启用了node.js和Express WAF的API服务器模块上敏感用户数据的刺激性猜测。
解析服务器是一个流行的开源项目,可为iOS,MACOS,Android和Apple TV操作系统TVOS提供推送通知功能。
“内部字段(由Parse服务器内部使用,由_的前缀)和受保护字段(用户定义)用作查询约束,”读物描述了一个漏洞中的漏洞Github咨询于周五(9月16日)出版。
“内部和受保护的字段由Parse Server从查询结果中删除,仅使用有效的主密钥返回客户端。但是,使用查询约束,可以通过枚举来猜测这些字段,直到解析服务器返回响应对象为止。”
跟踪为CVE-2022-36079,高严重性问题是GitHub的CVSS评级为8.6,但国家标准技术研究所(NIST)为7.5。攻击复杂性被认为是“低”。
更新和解决方法
该错误是用版本修补的4.10.14和5.2.5在这些发行线上具有所有先前版本的Parse-server NPM软件包中。修复程序要求主密钥使用内部和受保护字段作为查询约束。
也可以为无法立即更新其系统更新的开发人员使用解决方法。“实现一个解析云触发器,并手动删除查询约束,”该咨询说。
今年在解析服务器中解决的其他重要安全错误包括高度严重性身份验证旁路影响苹果游戏中心,在6月披露,以及原型污染,3月披露的最大严重性脆弱性“可能会影响Postgres和任何其他数据库后端”。
