漏洞概述 漏洞名称: Parse Server - 通过恶意版本标签的任意代码执行 CVE编号: CVE-2021-47987 CWE编号: CWE-494 下载代码时未进行完整性检查 CVSS评分: 7.7 CVSS向量: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 发布日期: 2026年6月25日 影响范围 受影响版本: parse-server >= 0, < 4.10.0 修复方案 修复版本: 升级到 parse-server 4.10.0 或更高版本 描述 Parse Server 在 4.10.0 之前版本受到供应链攻击的影响,其中不正确的版本标签被推送到官方仓库,指向一个未经审查的个人分支,该分支具有写入权限。没有发布与这些标签相关的修复版本,因为只有在定义了引用受影响标签之一的 git 基础依赖项时才会暴露该项目(例如,parse-server#4.9.3)。标签背后的代码未经审查或批准,尽管未识别出恶意代码,但不能排除引入安全漏洞的可能性。 参考链接 GitHub Security Advisory 其他信息 VulnCheck: 提供漏洞情报和威胁情报平台,帮助优先处理和修复漏洞。 功能: 漏洞优先级排序、早期预警系统。 页脚信息 VulnCheck: 帮助组织通过漏洞情报超越对手,预测攻击途径。 产品: 漏洞与威胁情报、初始访问情报、金丝雀情报、目标情报、政府解决方案。 社区: VulnCheck KEV、NVD++、VulnCheck 漏洞数据库 (XDB)、知识库、报告漏洞。 合作伙伴: 成为合作伙伴、注册交易、现有合作伙伴。 法律: 隐私政策、条款与条件、漏洞披露政策、服务条款。