一、漏洞详情

Parse Server是一个开源的http web服务器后端。

近日，在Parse Server npm包中发现了一个远程代码执行漏洞（CVE-2022-24760），由于DatabaseController.js文件中存在Prototype Pollution（原型污染）漏洞，易受攻击的代码可能会影响Postgres和其他数据库后端。此漏洞影响MongoDB默认配置中的Parse Server，并已在Linux(Ubuntu)和Windows上被确认。

原型污染是一种针对JavaScript运行时的注入攻击。通过原型污染，可能控制对象属性的默认值。这允许篡改应用程序的逻辑、导致拒绝服务，甚至导致远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

parse-server (npm)版本 < 4.10.7

三、修复建议

目前此漏洞已经修复，受影响用户可以升级更新到Parse Server 4.10.7 或更高版本。

下载链接：https://www.npmjs.com/package/parse-server

补丁下载链接：https://github.com/advisories/GHSA-p6h4-93qp-jhcm

注：该补丁通过修补MongoDB Node.js驱动程序并禁用BSON代码执行。