Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Parse Server (CVE-2023-46119)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/10/2023
Última modificación:
01/11/2023

Descripción

Parse Server es un backend de código abierto que se puede implementar en cualquier infraestructura que pueda ejecutar Node.js. Parse Server falla al cargar un archivo sin extensión. Esta vulnerabilidad ha sido parcheada en las versiones 5.5.6 y 6.3.1.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* 1.0.0 (incluyendo) 5.5.6 (excluyendo)
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* 6.0.0 (incluyendo) 6.3.1 (excluyendo)