Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.9 и 9.5.0-alpha.9 конечная точка метаданных файла (GET /files/:appId/metadata/:filename) не применяет триггеры файла beforeFind или afterFind. Когда эти триггеры используются в качестве шлюзов контроля доступа, конечная точка метаданных полностью их обходит, обеспечивая несанкционированный доступ к метаданным файла.
Эта проблема исправлена в версиях 8.6.9 и 9.5.0-alpha.9.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.9 and 9.5.0-alpha.9, the file metadata endpoint (GET /files/:appId/metadata/:filename) does not enforce beforeFind / afterFind file triggers. When these triggers are used as access-control gates, the metadata endpoint bypasses them entirely, allowing unauthorized access to file metadata. This issue has been patched in versions 8.6.9 and 9.5.0-alpha.9.
Характеристики атаки
Последствия
Строка CVSS v4.0