Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.5.2-alpha.10 и 8.6.23 промежуточное программное обеспечение Parse Server, ограничивающее скорость, применялось на уровне промежуточного программного обеспечения Express, но конечная точка пакетного запроса (/batch) обрабатывала подзапросы внутри, направляя их непосредственно через маршрутизатор Promise, минуя промежуточное программное обеспечение Express, включая ограничение скорости. Злоумышленник может объединить несколько запросов, нацеленных на конечную точку с ограниченной скоростью, в один пакетный запрос, чтобы обойти настроенное ограничение скорости.
Это затрагивает любое развертывание сервера синтаксического анализа, основанное на встроенной функции ограничения скорости. Эта уязвимость исправлена в версиях 9.5.2-alpha.10 и 8.6.23.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior o 9.5.2-alpha.10 and 8.6.23, Parse Server's rate limiting middleware is applied at the Express middleware layer, but the batch request endpoint (/batch) processes sub-requests internally by routing them directly through the Promise router, bypassing Express middleware including rate limiting. An attacker can bundle multiple requests targeting a rate-limited endpoint into a single batch request to circumvent the configured rate limit. Any Parse Server deployment that relies on the built-in rate limiting feature is affected. This vulnerability is fixed in 9.5.2-alpha.10 and 8.6.23.
Характеристики атаки
Последствия
Строка CVSS v4.0