CVE-2022-31089
Invalid file request can crashe parse-server
En resumen
Parse Server puede bloquearse cuando recibe ciertas solicitudes de archivo malformadas. Esto hace que el servidor deje de funcionar, lo cual es especialmente crítico si ejecuta solo una instancia sin redundancia.
Detalle técnico
La vulnerabilidad existe en el manejo de solicitudes de archivo debido a una gestión inadecuada de errores (CWE-252, CWE-706), permitiendo que atacantes remotos envíen solicitudes de archivo especialmente construidas que desencadenan excepciones no controladas y bloquean el proceso Node.js. El impacto en la disponibilidad es directamente proporcional a la redundancia de la implementación; los servidores únicos enfrentan una interrupción completa del servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. In affected versions certain types of invalid files requests are not handled properly and can crash the server. If you are running multiple Parse Server instances in a cluster, the availability impact may be low; if you are running Parse Server as single instance without redundancy, the availability impact may be high. This issue has been addressed in versions 4.10.12 and 5.2.3. Users are advised to upgrade. There are no known workarounds for this issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
parse-community · parse-server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →