Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.5.2-alpha.3 и 8.6.16 разрешения на уровне класса (CLP) не применялись для подписок LiveQuery. Неаутентифицированный или неавторизованный клиент может подписаться на любой класс с поддержкой LiveQuery и получать события в реальном времени для всех объектов, независимо от ограничений CLP.
Это затрагивает все развертывания Parse Server, использующие LiveQuery с разрешениями на уровне класса. Данные, предназначенные для ограничения CLP, передаются неавторизованным подписчикам в режиме реального времени. Эта уязвимость исправлена в версиях 9.5.2-alpha.3 и 8.6.16.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.5.2-alpha.3 and 8.6.16, class-level permissions (CLP) are not enforced for LiveQuery subscriptions. An unauthenticated or unauthorized client can subscribe to any LiveQuery-enabled class and receive real-time events for all objects, regardless of CLP restrictions. All Parse Server deployments that use LiveQuery with class-level permissions are affected. Data intended to be restricted by CLP is leaked to unauthorized subscribers in real time. This vulnerability is fixed in 9.5.2-alpha.3 and 8.6.16.
Характеристики атаки
Последствия
Строка CVSS v4.0