Vulnerabilidad en la comprobación del ID de la aplicación del adaptador de autenticación para _Facebook_ y _Spotify_ en Parse Server (CVE-2022-39231)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
23/09/2022
Última modificación:
26/09/2022
Descripción
Parse Server es un backend de código abierto que puede desplegarse en cualquier infraestructura que pueda ejecutar Node.js. En versiones anteriores a 4.10.16, o desde la 5.0.0 a 5.2.6, la comprobación del ID de la aplicación del adaptador de autenticación para _Facebook_ y _Spotify_ puede ser omitida. Las configuraciones que permiten a usuarios autenticarse usando el adaptador de autenticación de Parse Server donde "appIds" es establecido como una cadena en lugar de una matriz de cadenas autentican peticiones de una aplicación con un ID de aplicación diferente al especificado en la configuración de "appIds". Para que esta vulnerabilidad pueda ser explotada, un atacante necesita que el proveedor de autenticación le asigne un ID de aplicación que sea un subconjunto del ID de aplicación configurado en el lado del servidor. Este problema está parcheado en versiones 4.10.16 y 5.2.7. No se presentan mitigaciones conocidas.
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 4.10.16 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 5.0.0 (incluyendo) | 5.2.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página