Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.2 и 8.6.28 злоумышленник мог использовать имя поля с точечной записью в сочетании с параметром запроса сортировки для внедрения SQL в базу данных PostgreSQL посредством неправильного экранирования значений подполей в запросах с точечной записью. Уязвимость также может затрагивать запросы, в которых используются имена полей в точечной нотации с параметрами запроса «различающиеся» и «где».
Эта уязвимость затрагивает только развертывания с использованием базы данных PostgreSQL. Эта уязвимость исправлена в версиях 9.6.0-alpha.2 и 8.6.28.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.2 and 8.6.28, an attacker can use a dot-notation field name in combination with the sort query parameter to inject SQL into the PostgreSQL database through an improper escaping of sub-field values in dot-notation queries. The vulnerability may also affect queries that use dot-notation field names with the distinct and where query parameters. This vulnerability only affects deployments using a PostgreSQL database. This vulnerability is fixed in 9.6.0-alpha.2 and 8.6.28.
Характеристики атаки
Последствия
Строка CVSS v4.0