一、漏洞概述
Parse Server 是一个用于构建移动应用程序和Web应用程序开源框架。
受影响版本中,当 Parse Server 使用 PostgreSQL 数据库时,Parse Server 中的 literalizeRegexPart 函数在处理 PostgreSQL 查询时未能正确处理特殊字符和正则表达式转义字符\,导致 SQL 注入漏洞。
修复版本中,通过改进转义逻辑并处理所有特殊字符以修复漏洞。公开时间: 2024/07/02
CVE编号: CVE-2024-39309
漏洞类型: 使用候选路径或通道进行的认证绕过
漏洞等级: 严重
利用可能性: 中
攻击向量: 网络
攻击成本: 中
影响范围:
有无PoC/EXP: 无
情报来源: OSCS社区
受影响版本中,当 Parse Server 使用 PostgreSQL 数据库时,Parse Server 中的 literalizeRegexPart 函数在处理 PostgreSQL 查询时未能正确处理特殊字符和正则表达式转义字符\,导致 SQL 注入漏洞。
修复版本中,通过改进转义逻辑并处理所有特殊字符以修复漏洞。公开时间: 2024/07/02
CVE编号: CVE-2024-39309
漏洞类型: 使用候选路径或通道进行的认证绕过
漏洞等级: 严重
利用可能性: 中
攻击向量: 网络
攻击成本: 中
影响范围:
有无PoC/EXP: 无
情报来源: OSCS社区
影响组件:
1.parse-server@(-∞, 6.5.7)
2.parse-server@[7.0.0, 7.1.0)
排查方式:
1.获取 parse-server 版本,判断其版本在[*, 6.5.7)、[7.0.0, 7.1.0)范围内
修复方案:
1.将组件 parse-server 升级至 6.5.7 及以上版本
2.将组件 parse-server 升级至 7.1.0 及以上版本
参考链接:
1.https://www.oscs1024.com/hd/MPS-saer-duhp
2.https://github.com/advisories/GHSA-c2hr-cqg6-8j6r
3.https://github.com/parse-community/parse-server/pull/9168/commits/e455fde16ead236b7f00c02219943fbd1621a6fa
4.https://github.com/parse-community/parse-server/pull/9167
5.https://nvd.nist.gov/vuln/detail/CVE-2024-39309
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容