Parse Server中的一个安全漏洞已修复，该漏洞可以对Node.js和Express WAF的API服务器模块上的敏感用户数据进行暴力猜测。Parse Server是一个流行的开源项目，它为iOS、macOS、Android和Apple TV操作系统tvOS提供推送通知功能。“内部字段（Parse Server在内部使用的键，前缀为_）和受保护的字段（user defined）可用作查询约束，”9月16日）发布的GitHub公告中对该漏洞的描述中写道。

“Parse Server从查询结果中删除了内部和受保护的字段，并且仅使用有效的主密钥将其返回给客户端。但是，使用查询约束，可以通过枚举来猜测这些字段，直到Parse Server返回响应对象。”

被跟踪为CVE-2022-36079的高严重性问题被GitHub分配为8.6的CVSS评级，但被美国国家标准与技术研究院(NIST)分配为7.5。攻击复杂性被认为是“低的”。

错误已在parse-server NPM 的4.10.14和5.2.5版本中进行了修补，这些发布行上的所有先前版本都受到影响。该修复要求主密钥使用内部和受保护字段作为查询约束。

对于无法立即更新系统的开发人员，也可以使用一种解决方法。“在查找之前实施Parse Cloud Trigger并手动删除查询约束，”该咨询解释道。

今年Parse Server中解决的其他重大安全漏洞包括6月披露的影响Apple Game Center的高严重性身份验证绕过，以及3月披露的原型污染、最大严重性漏洞，“可能会影响Postgres和任何其他数据库后端”。