Vulnerabilidad en Parse Server (CVE-2024-29027)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
19/03/2024
Última modificación:
17/12/2025
Descripción
Parse Server es un backend de código abierto que se puede implementar en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 6.5.5 y 7.0.0-alpha.29, llamar a un nombre de función de nube de Parse Server o un nombre de trabajo de nube no válido bloquea el servidor y puede permitir la inyección de código, la manipulación interna del almacén o la ejecución remota de código. El parche en las versiones 6.5.5 y 7.0.0-alpha.29 agregó saneamiento de cadenas para el nombre de la función en la nube y el nombre del trabajo en la nube. Como workaround, desinfecte el nombre de la función en la nube y el nombre del trabajo en la nube antes de que llegue al servidor Parse.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 6.5.5 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha10:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha11:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha12:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha13:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha14:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha15:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha16:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha17:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha18:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha19:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha20:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:7.0.0:alpha21:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/parse-community/parse-server/commit/5ae6d6a36d75c4511029f0ba5673ae4b2999179b
- https://github.com/parse-community/parse-server/commit/9f6e3429d3b326cf4e2994733c618d08032fac6e
- https://github.com/parse-community/parse-server/releases/tag/6.5.5
- https://github.com/parse-community/parse-server/releases/tag/7.0.0-alpha.29
- https://github.com/parse-community/parse-server/security/advisories/GHSA-6hh7-46r2-vf29
- https://github.com/parse-community/parse-server/commit/5ae6d6a36d75c4511029f0ba5673ae4b2999179b
- https://github.com/parse-community/parse-server/commit/9f6e3429d3b326cf4e2994733c618d08032fac6e
- https://github.com/parse-community/parse-server/releases/tag/6.5.5
- https://github.com/parse-community/parse-server/releases/tag/7.0.0-alpha.29
- https://github.com/parse-community/parse-server/security/advisories/GHSA-6hh7-46r2-vf29