Parse Dashboard — это отдельная панель управления для управления приложениями Parse Server. В версиях с 7.3.0-alpha.42 по 9.0.0-alpha.7 ConfigKeyCache использует один и тот же ключ кэша как для главного ключа, так и для главного ключа, доступного только для чтения, при разрешении ключей функционального типа. При определенных условиях времени пользователь с правами только для чтения может получить кэшированный полный главный ключ, или обычный пользователь может получить кэшированный главный ключ только для чтения.
Исправление в версии 9.0.0-alpha.8 использует отдельные ключи кэша для главного ключа и главного ключа, доступного только для чтения. В качестве обходного пути избегайте использования главных ключей функционального типа или удалите блок конфигурации «агента» из конфигурации панели управления.
Показать оригинальное описание (EN)
Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the `ConfigKeyCache` uses the same cache key for both master key and read-only master key when resolving function-typed keys. Under specific timing conditions, a read-only user can receive the cached full master key, or a regular user can receive the cached read-only master key. The fix in version 9.0.0-alpha.8 uses distinct cache keys for master key and read-only master key. As a workaround, avoid using function-typed master keys, or remove the `agent` configuration block from your dashboard configuration.
Характеристики атаки
Последствия
Строка CVSS v4.0