近日,嘉诚安全监测到Parse Server中修复了一个远程代码执行漏洞,漏洞编号为:CNNVD-202306-2123(CVE-2023-36475)。
Parse Server是一个开源后端,可以部署到任何可以运行 Node.js 的基础设施。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
经研判,该漏洞为高危漏洞。由于对用户控制的参数缺乏过滤,当MongoDB BSON解析器解析恶意构造的BSON数据时易受原型污染的影响,攻击者可利用该漏洞远程执行任意代码。
影响版本:
Parse-server版本:< 5.5.2
6.0.0<= Parse-server版本 < 6.2.1
5.5.2<=Parse-server版本< 6.0.0
Parse-server版本:>=6.2.1
下载链接请参考:
原文始发于微信公众号(嘉诚安全):【漏洞通告】Parse Server远程代码执行漏洞安全风险通告
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论