Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.6 и 9.5.0-alpha.4 readOnlyMasterKey мог вызывать POST /loginAs, чтобы получить действительный токен сеанса для любого пользователя. Это позволяет учетным данным, доступным только для чтения, выдавать себя за произвольных пользователей с полным доступом на чтение и запись к их данным.
Это затрагивает любое развертывание сервера синтаксического анализа, использующее readOnlyMasterKey. Эта проблема исправлена в версиях 8.6.6 и 9.5.0-alpha.4.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.6 and 9.5.0-alpha.4, the readOnlyMasterKey can call POST /loginAs to obtain a valid session token for any user. This allows a read-only credential to impersonate arbitrary users with full read and write access to their data. Any Parse Server deployment that uses readOnlyMasterKey is affected. This issue has been patched in versions 8.6.6 and 9.5.0-alpha.4.
Характеристики атаки
Последствия
Строка CVSS v4.0