Vulnerabilidad en Parse Server (CVE-2023-46119)
Severidad:
ALTA
Type:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/10/2023
Última modificación:
01/11/2023
Descripción
Parse Server es un backend de código abierto que se puede implementar en cualquier infraestructura que pueda ejecutar Node.js. Parse Server falla al cargar un archivo sin extensión. Esta vulnerabilidad ha sido parcheada en las versiones 5.5.6 y 6.3.1.
Impacto
Puntuación base 3.x
7.50
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 1.0.0 (incluyendo) | 5.5.6 (excluyendo) |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 6.0.0 (incluyendo) | 6.3.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/parse-community/parse-server/commit/686a9f282dc23c31beab3d93e6d21ccd0e1328fe
- https://github.com/parse-community/parse-server/commit/fd86278919556d3682e7e2c856dfccd5beffbfc0
- https://github.com/parse-community/parse-server/releases/tag/5.5.6
- https://github.com/parse-community/parse-server/releases/tag/6.3.1
- https://github.com/parse-community/parse-server/security/advisories/GHSA-792q-q67h-w579