一、漏洞详情
Parse Server是一个开源的http web服务器后端。
近日,在Parse Server npm包中发现了一个远程代码执行漏洞(CVE-2022-24760),由于DatabaseController.js文件中存在Prototype Pollution(原型污染)漏洞,易受攻击的代码可能会影响Postgres和其他数据库后端。此漏洞影响MongoDB默认配置中的Parse Server,并已在Linux(Ubuntu)和Windows上被确认。
原型污染是一种针对JavaScript运行时的注入攻击。通过原型污染,可能控制对象属性的默认值。这允许篡改应用程序的逻辑、导致拒绝服务,甚至导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
parse-server (npm)版本 < 4.10.7
三、修复建议
目前此漏洞已经修复,受影响用户可以升级更新到Parse Server 4.10.7 或更高版本。
下载链接:https://www.npmjs.com/package/parse-server
补丁下载链接:https://github.com/advisories/GHSA-p6h4-93qp-jhcm
注:该补丁通过修补MongoDB Node.js驱动程序并禁用BSON代码执行。