漏洞详情
此漏洞允许远程攻击者在受影响的 Parse Server 安装上执行任意代码。利用此漏洞不需要身份验证。
特定缺陷存在于 transformUpdate 函数中。该问题是由于缺乏对对象原型属性修改的控制造成的。攻击者可以利用此漏洞在服务帐户的上下文中执行代码。
可在“Node.js”环境中使用的开源后端“Parse Server”中提供的“MongoDB”的“BSON 解析器”中存在漏洞。
揭示了“BSON 解析器”中可能受到原型污染攻击的漏洞“CVE-2022-39396”。如果被利用,可能会导致远程代码执行。
GitHub的通用漏洞评估系统“CVSSv3.1”的CVE编号基础评分为“9.8”,严重程度为“Critical”。
提供已修改以防止数据库适配器中的原型污染的“Same 5.3.1”和“Same 4.10.18”,需要更新。
参考:
https://github.com/advisories/GHSA-prm5-8g2m-24gg
https://www.security-next.com/141318
原文始发于微信公众号(Ots安全):CVE-2022-39396-Parse Server transformUpdate 原型污染远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论