Vulnerabilidad en Parse Server (CVE-2025-64502)

Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. El método 'explain()' de MongoDB proporciona información detallada sobre los planes de ejecución de consultas, incluyendo el uso de índices, el comportamiento de escaneo de colecciones y las métricas de rendimiento. Antes de la versión 8.5.0-alpha.5, Parse Server permite a cualquier cliente ejecutar consultas explain sin requerir la clave maestra. Esto expone la estructura del esquema de la base de datos y los nombres de los campos, las configuraciones de índices y los detalles de optimización de consultas, las estadísticas de ejecución de consultas y las métricas de rendimiento, y posibles vectores de ataque para la explotación del rendimiento de la base de datos. En la versión 8.5.0-alpha.5, se ha introducido una nueva opción de configuración 'databaseOptions.allowPublicExplain' que permite restringir las consultas 'explain' a la clave maestra. La opción por defecto es 'true' por ahora para evitar un cambio disruptivo en los sistemas de producción que dependen de la disponibilidad pública de 'explain'. Además, se registra una advertencia de seguridad cuando la opción no se establece explícitamente, o se establece en 'true'. En una futura versión principal de Parse Server, el valor por defecto cambiará a 'false'. Como solución alternativa, implemente middleware para bloquear las consultas explain de solicitudes sin clave maestra, o monitoree y alerte sobre el uso de consultas explain en entornos de producción.