【漏洞通告】Parse Server远程代码执行漏洞安全风险通告

admin
admin
admin
86696
文章
81
评论
2023年6月30日14:53:17评论40 views字数 506阅读1分41秒阅读模式
漏洞背景

近日,嘉诚安全监测到Parse Server中修复了一个远程代码执行漏洞,漏洞编号为:CNNVD-202306-2123(CVE-2023-36475)。

Parse Server是一个开源后端,可以部署到任何可以运行 Node.js 的基础设施。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞。由于对用户控制的参数缺乏过滤,当MongoDB BSON解析器解析恶意构造的BSON数据时易受原型污染的影响,攻击者可利用该漏洞远程执行任意代码。

危害影响

影响版本:

Parse-server版本:< 5.5.2

6.0.0<= Parse-server版本 < 6.2.1

修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本:

5.5.2<=Parse-server版本< 6.0.0

Parse-server版本:>=6.2.1

下载链接请参考:

https://github.com/parse-community/parse-server/releases

原文始发于微信公众号(嘉诚安全):【漏洞通告】Parse Server远程代码执行漏洞安全风险通告

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月30日14:53:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Parse Server远程代码执行漏洞安全风险通告https://cn-sec.com/archives/1846180.html

发表评论

匿名网友 填写信息