Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.8.0-alpha.6 и 8.6.74 время ответа конечной точки входа в систему заметно различалось в зависимости от того, существует ли отправленное имя пользователя или адрес электронной почты в базе данных. Если пользователь не найден, сервер отвечает немедленно.
Если пользователь существует, но пароль неверен, сначала запускается сравнение bcrypt, что увеличивает задержку. Эта разница во времени позволяет неаутентифицированному злоумышленнику перечислить действительные имена пользователей. Эта уязвимость исправлена в версиях 9.8.0-alpha.6 и 8.6.74.
Показать оригинальное описание (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.8.0-alpha.6 and 8.6.74, he login endpoint response time differs measurably depending on whether the submitted username or email exists in the database. When a user is not found, the server responds immediately. When a user exists but the password is wrong, a bcrypt comparison runs first, adding significant latency. This timing difference allows an unauthenticated attacker to enumerate valid usernames. This vulnerability is fixed in 9.8.0-alpha.6 and 8.6.74.
Характеристики атаки
Последствия
Строка CVSS v4.0