CVE-2022-39396

Parse Server vulnerable to Remote Code Execution via prototype pollution in MongoDB BSON parser

CVSS 9.8 CRITICALEPSS 41.2%CWE-1321

En resumen

Parse Server tiene un fallo crítico que permite a los atacantes ejecutar código malicioso en el servidor explotando cómo procesa datos de MongoDB. Un atacante puede engañar al sistema para ejecutar comandos sin necesidad de permisos especiales.

Detalle técnico

La vulnerabilidad de contaminación de prototipos en el analizador BSON de MongoDB permite que atacantes remotos no autenticados logren ejecución arbitraria de código inyectando propiedades maliciosas en objetos JavaScript durante la deserialización. Las versiones afectadas anteriores a 4.10.18 y 5.3.1 carecen de validación adecuada de entrada en el análisis de BSON, permitiendo la explotación a través de cargas útiles de consultas MongoDB manipuladas.

Resumen generado y traducido por IA a partir de la descripción oficial.

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Versions prior to 4.10.18, and prior to 5.3.1 on the 5.X branch, are vulnerable to Remote Code Execution via prototype pollution. An attacker can use this prototype pollution sink to trigger a remote code execution through the MongoDB BSON parser. This issue is patched in version 5.3.1 and in 4.10.18. There are no known workarounds.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

parse-community · parse-server

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/parse-community/parse-server/security/advisories/GHSA-prm5-8g2m-24gg