Vulnerabilidad en el ID del objeto de sesión en Parse Server (CVE-2022-39225)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-669
Transferencia incorrecta de recursos entre esferas
Fecha de publicación:
23/09/2022
Última modificación:
28/09/2022
Descripción
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. En versiones anteriores a 4.10.15, o 5.0.0 y superiores, anteriores a 5.2.6, un usuario puede escribir en el objeto de sesión de otro usuario si es conocido el ID del objeto de sesión. Por ejemplo, un atacante puede asignar el objeto de sesión a su propio usuario al escribir en el campo "user" y luego leer cualquier campo personalizado de ese objeto de sesión. Tenga en cuenta que asignar una sesión a otro usuario no suele cambiar los privilegios de ninguno de los dos usuarios, y un usuario no puede asignar su propia sesión a otro usuario. Este problema está parcheado en versiones 4.10.15 y superiores, y 5.2.6 y superiores. Para mitigar este problema en las versiones no parcheadas, añada un desencadenador "beforeSave" a la clase "_Session" y evite la escritura si el usuario solicitante es diferente del usuario en el objeto de sesión.
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 4.10.15 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 5.0.0 (incluyendo) | 5.2.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página