Описание
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. If the Parse Server option allowCustomObjectId: true is set, an attacker that is allowed to create a new user can set a custom object ID for that new user that exploits the vulnerability and acquires privileges of a specific role. This vulnerability is fixed in 6.5.9 and 7.3.0.
Ссылки
- Patch
- Patch
- Patch
- Patch
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.5.9 (исключая)Версия от 7.0.0 (включая) до 7.3.0 (исключая)
Одно из
cpe:2.3:a:parseplatform:parse_server:*:*:*:*:*:*:*:*
cpe:2.3:a:parseplatform:parse_server:*:*:*:*:*:*:*:*
EPSS
Процентиль: 51%
0.00282
Низкий
8.1 High
CVSS3
Дефекты
CWE-285
CWE-863
Связанные уязвимости
CVSS3: 8.1
github
больше 1 года назад
Parse Server's custom object ID allows to acquire role privileges
EPSS
Процентиль: 51%
0.00282
Низкий
8.1 High
CVSS3
Дефекты
CWE-285
CWE-863