CVE-2022-39396
Parse Server vulnerable to Remote Code Execution via prototype pollution in MongoDB BSON parser
Em resumo
O Parse Server tem uma falha crítica que permite que atacantes executem código malicioso no servidor explorando como ele processa dados do MongoDB. Um atacante pode enganar o sistema para executar comandos sem precisar de permissões especiais.
Detalhe técnico
Vulnerabilidade de poluição de protótipo no analisador BSON do MongoDB permite que atacantes remotos não autenticados alcancem execução arbitrária de código injetando propriedades maliciosas em objetos JavaScript durante a desserialização. Versões afetadas anteriores a 4.10.18 e 5.3.1 carecem de validação adequada de entrada na análise de BSON, permitindo exploração através de payloads de consultas MongoDB manipuladas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Versions prior to 4.10.18, and prior to 5.3.1 on the 5.X branch, are vulnerable to Remote Code Execution via prototype pollution. An attacker can use this prototype pollution sink to trigger a remote code execution through the MongoDB BSON parser. This issue is patched in version 5.3.1 and in 4.10.18. There are no known workarounds.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
parse-community · parse-serverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →