CVE-2022-39396-Parse Server transformUpdate 原型污染远程代码执行漏洞

漏洞详情

此漏洞允许远程攻击者在受影响的 Parse Server 安装上执行任意代码。利用此漏洞不需要身份验证。

特定缺陷存在于 transformUpdate 函数中。该问题是由于缺乏对对象原型属性修改的控制造成的。攻击者可以利用此漏洞在服务帐户的上下文中执行代码。

可在“Node.js”环境中使用的开源后端“Parse Server”中提供的“MongoDB”的“BSON 解析器”中存在漏洞。

揭示了“BSON 解析器”中可能受到原型污染攻击的漏洞“CVE-2022-39396”。如果被利用，可能会导致远程代码执行。

GitHub的通用漏洞评估系统“CVSSv3.1”的CVE编号基础评分为“9.8”，严重程度为“Critical”。

提供已修改以防止数据库适配器中的原型污染的“Same 5.3.1”和“Same 4.10.18”，需要更新。

参考：

https://github.com/advisories/GHSA-prm5-8g2m-24gg

https://www.security-next.com/141318

原文始发于微信公众号（Ots安全）：CVE-2022-39396-Parse Server transformUpdate 原型污染远程代码执行漏洞