Vulnerabilidades de Parse-server de Parse-community

Vulnerabilidad CVE-2023-22474 de Parse-server. Lista CVE de fallos de seguridad de Parse-server.

4 de febrero del 2023

CVE-2023-22474: Parse Server es un backend de código abierto que se puede implementar en cualquier infraestructura que pueda ejecutar Node.js. Parse Server usa el encabezado de solicitud `x-forwarded-for` para determinar la dirección IP del cliente. Si Parse Server no se ejecuta detrás de un servidor proxy, un cliente puede configurar este encabezado y Parse Server confiará en el valor del encabezado. Varias características de Parse Server utilizarán la dirección IP de cliente incorrecta. Esto permite eludir el mecanismo de seguridad de la opción `masterKeyIps` de Parse Server configurando una dirección IP permitida como el valor del encabezado `x-forwarded-for`. Este problema se ha corregido en la versión 5.4.1. Se ha reescrito el mecanismo para determinar la dirección IP del cliente. La determinación correcta de la dirección IP ahora requiere establecer la opción `trustProxy` de Parse Server.

https://github.com/parse-community/parse-server/commit/e016d813e083ce6828f9abce245d15b681a224d8
https://github.com/parse-community/parse-server/security/advisories/GHSA-vm5r-c87r-pf6x

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-06. Fecha publicación el 2023-02-06. Autor: Oscar olg Mapa del sitio Fuente: cve report