Parse Server远程代码执行漏洞 CVE-2023-36475
日期:2023-07-05 10:40:03 发布人:信息化建设中心 浏览量:546
漏洞概要
|
漏洞名称 |
Parse Server远程代码执行漏洞(CVE-2023-36475) |
|
发布时间 |
2023年7月3日 |
|
组件名称 |
Parse Server |
|
影响范围 |
Parse Server < 5.5.2 6.0.0 ≤ Parse Server < 6.2.1 |
|
漏洞类型 |
远程代码执行 |
|
利用条件 |
1、用户认证:未知 2、前置条件:默认配置 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:未知。 <综合评定威胁等级>:严重,能造成远程代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
Parse Server是一个开源的后端框架,可以部署到任何能运行Node.js的基础设施上。它与Express web应用程序框架配合使用,可以添加到现有的Web应用程序中,也可以单独运行。
漏洞描述
2023年7月3日,深信服安全团队监测到一则Parse Server组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2023-36475,漏洞威胁等级:严重。
该漏洞是由于Parse Server对用户的输入缺乏控制,当MongoDB BSON解析器解析攻击者构造的恶意BSON数据时易受原型污染影响,攻击者可利用该漏洞远程执行任意代码。
影响范围
目前受影响的Parse Server版本:
Parse Server < 5.5.2
6.0.0 ≤ Parse Server < 6.2.1
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。