Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. Начиная с версии 9.3.1-alpha.3 и до версии 9.5.0-alpha.10, когда графQLPublicIntrospection отключен, запросы __type, вложенные внутри встроенных фрагментов (например, ... в Query { __type(name:"User") { name } }), обходят контроль интроспекции, позволяя неаутентифицированным пользователям выполнять разведку типа. __schema самоанализ не затрагивается. Эта проблема исправлена в версии 9.5.0-alpha.10.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. From version 9.3.1-alpha.3 to before version 9.5.0-alpha.10, when graphQLPublicIntrospection is disabled, __type queries nested inside inline fragments (e.g. ... on Query { __type(name:"User") { name } }) bypass the introspection control, allowing unauthenticated users to perform type reconnaissance. __schema introspection is not affected. This issue has been patched in version 9.5.0-alpha.10.
Характеристики атаки
Последствия
Строка CVSS v4.0