Se ha publicado una actualización que subsana una vulnerabilidad crítica en el software backend Parse Server para Linux y Windows, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad CVE-2022-24760 de severidad crítica, con una puntuación de 10.0. Esta se debe a un código vulnerable a ataques del tipo Prototype Pollution (contaminación prototipo) de la función “DatabaseController.js”, que permitiría a un atacante realizar ejecución remota de código (RCE). La explotación de esta falla requiere un gadget para lograr la ejecución remota de código (RCE) y algún tipo de condición de carrera para ejecutar el gadget en el orden requerido, afectando así a Parse Server en la configuración predeterminada de MongoDB.
Como la falla de seguridad se encontró en la función de la base de datos, probablemente afectará a PostgreSQL y a cualquier otro backend de base de datos. Esta vulnerabilidad ha sido confirmada en Linux (Ubuntu) y Windows.
Las versiones afectadas en Parse Server son:
- Parse Server, versiones anteriores a 4.10.7.
Recomendamos instalar la actualización correspondiente a la vulnerabilidad crítica, mediante el siguiente enlace:
Adicionalmente, una posible solución implica parchar el controlador MongoDB Node.js y deshabilitar la ejecución de código BSON. En el apartado de Workarounds es posible encontrar dicho parche.
Referencias: