Vulnerabilidad en Parse Server (CVE-2023-41058)

Parse Server es un servidor backend de código abierto. En las versiones afectadas, el disparador "beforeFind" de Parse Cloud no se invoca en determinadas condiciones de "Parse.Query". Esto puede suponer una vulnerabilidad para los despliegues en los que el disparador "beforeFind" se utiliza como capa de seguridad para modificar la consulta entrante. La vulnerabilidad se ha corregido mediante la refactorización de la canalización interna de consultas para conseguir una estructura de código más concisa y la aplicación de un parche para garantizar que se invoque el disparador "beforeFind". Esta corrección se introdujo en el commit "be4c7e23c6" y se ha incluido en las versiones 6.2.2 y 5.5.5. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizarse deberían utilizar las capas de seguridad del servidor de análisis sintáctico para gestionar los niveles de acceso con permisos de clase y control de acceso a nivel de objeto, que deberían utilizarse en lugar de las capas de seguridad personalizadas en los disparadores de Cloud Code.