严重的Parse Server漏洞影响导致Apple Game Center的身份验证绕过

Parse Server是GitHub上的一个开源项目，它为 iOS、macOS、Android和tvOS提供推送通知功能。该软件是一个后端系统，与任何能够运行Node.js（Express Web应用程序框架）的基础设施兼容，并且可以独立运行或与现有的Web 应用程序一起运行。

根据6月17日发布的安全公告，4.10.11/5.0.0/5.2.2之前的Parse Server版本中的一个错误导致Apple Game Center出现验证问题。

Apple将Game Center称为其“社交游戏网络”。该平台包括排行榜和实时多人游戏。

跟踪为CVE-2022-31083并发布了8.6的CVSS严重性评分，该安全问题被描述为Apple Game Center安全证书的身份验证适配器未经过验证的情况。

“因此，通过某些Apple域可访问假证书并在authData对象中提供该证书的URL，可能会绕过身份验证，”该公告中写道。

攻击复杂性被认为很低，不需要特权。

Parse Server 4.10.11/5.2.2中已发布修复程序。该软件的Apple Game Center身份验证适配器中实现了一个新的rootCertificateUrl属性，该属性“将URL带到Apple的Game Center身份验证证书的根证书”。

如果开发人员没有在身份验证系统中设置值，则新属性默认为Apple使用的根证书的URL。

没有可用的解决方法。此外，该公告指出，在使用Parse Server Apple Game Center身份验证适配器时，保持根证书处于最新状态也是Apple生态系统开发人员的责任。

Game Center将在iOS 16中收到经过修改的仪表板外观，其中包含朋友的活动，将于今年晚些时候发布。

ESET全球网络安全顾问Jake Moore说：“不正确的验证可能让攻击者绕过身份验证，使服务器容易受到简单的远程攻击。”

“Apple在安全功能上遗漏标记的情况并不常见，但如果不要求身份验证，这是一种潜在的危险，甚至是一种简单的攻击。避免这种威胁的最佳方法是使用最新更新快速修补设备。”

原文始发于微信公众号（郑州网络安全）：严重的Parse Server漏洞影响导致Apple Game Center的身份验证绕过