关键漏洞信息 漏洞详情 漏洞ID: GHSA-fcv6-fg5r-jm9q CVE ID: CVE-2023-41058 发布日期: 2023年9月5日 严重性: 高 (CVSS v3.1 基本得分 7.5/10) 影响 受影响版本: 1.0.0 补丁版本: - 对于Parse Server 6.x: - 对于Parse Server 5.x (LTS): 描述 该漏洞允许使用Parse指针访问Parse Server内部类,并绕过 查询触发器。这会对使用 触发器作为安全层来修改传入查询的部署构成额外脆弱点。 修复措施 通过在内部查询管道中实现补丁,防止Parse指针用于访问内部Parse Server类或绕过 触发器来修复该漏洞。 绕过方法 不存在已知方法防止Parse指针用于访问内部Parse Server类。如果使用 触发器作为安全层,可以使用Parse Server提供的安全层,通过类级权限和对象级访问控制来管理访问级别。 参考资料 GitHub安全公告 Parse Server 6.x补丁 Parse Server 5.x (LTS)补丁