漏洞概述 LiveQuery 受保护字段通过跨并发订阅者的共享可变状态泄露 CVE编号: CVE-2025-34358 CVSS评分: 8.2/10 (High) CWE: CWE-362 当多个客户端通过 LiveQuery 订阅同一类时,事件处理器使用共享可变对象并发处理每个订阅者。敏感数据过滤器会原地修改这些共享对象,导致: 一个订阅者的过滤器移除受保护字段后,后续订阅者可能收到已被过滤的对象 受保护字段和认证数据泄露给不应看到的客户端 或应看到数据的客户端收到不完整对象 此外,注册 afterEvent Cloud Code 触发器时,一个订阅者的触发器修改可能通过相同的共享可变状态泄露给其他订阅者。 --- 影响范围 --- 修复方案 补丁内容: 在每个订阅者处理回调开始时深度克隆共享对象,确保每个订阅者处理独立副本 修复主密钥 LiveQuery 客户端无法接收带有受保护字段类的事件的问题(敏感数据过滤器传入类型错误) 修复提交: Fix Parse Server 9 #10330 Fix Parse Server 8 #10331 缓解措施:无已知临时解决方案