Parse Dashboard Has a Cache Key Collision that Leaks Master Key to Read-Only Sessions

Parse Dashboard tiene un fallo en su sistema de caché que utiliza la misma clave tanto para la clave maestra completa como para la clave maestra de solo lectura, permitiendo que un usuario con acceso restringido reciba accidentalmente la clave maestra completa bajo ciertas condiciones de tiempo. Esto compromete la seguridad al otorgar acceso no autorizado a credenciales administrativas sensibles.

El ConfigKeyCache en Parse Dashboard versiones 7.3.0-alpha.42 hasta 9.0.0-alpha.7 falla al diferenciar claves de caché al resolver claves maestras de tipo función, creando una colisión de caché. Bajo condiciones de carrera, las búsquedas en caché pueden devolver el tipo de credencial incorrecto (clave maestra en lugar de clave de solo lectura), permitiendo escalada de privilegios y acceso administrativo no autorizado.