Parse Server中可能导致远程代码执行(RCE)的原型污染漏洞已得到修补。根据11月8日发布的GitHub安全公告，攻击者可能会利用该漏洞(CVE-2022-39396)通过MongoDB BSON[Binary JSON]解析器触发RCE。Parse Server是一个流行的Node.js开源API服务器模块，它为iOS、macOS、Android和tvOS提供推送通知功能。

尽管所涉及的安全研究人员隐瞒了技术细节，以便让开发人员有时间应用补丁，因此细节仍不清楚，但我们知道该漏洞与他们在今年早些时候披露的另一个原型污染RCE问题相当。该漏洞于2022年3月浮出水面，被赋予了CVSS 10的最高严重等级。

“我可以确认这两个漏洞的影响最大，因为它们会影响Parse Server的默认配置，并允许攻击者在没有任何身份验证的情况下远程控制系统，”斯德哥尔摩KTH皇家理工学院的研究员Mikhail Shcherbakov说。“所以我的建议是尽快修补Parse Server，如果你有的话。”

该漏洞已在4.10.18和5.3.1版本的NPM parse-server包中修复。

这些补丁可以防止MongoDB数据库适配器中的原型污染。如果无法立即应用更新，则用户可以同时通过MongoDB BSON解析器禁用RCE来保护自己。

该漏洞是在德国萨尔布吕肯亥姆霍兹信息安全中心(CISPA)的Shcherbakov、KTH同事Musard Balliu和Cristian-Alexandru Staicu开展的一项研究项目中发现的。

三人研究了Node.js系统中的原型污染漏洞如何导致RCE攻击。

“检测原型污染是一项复杂的任务，”Shcherbakov说。“然而，证明漏洞影响很大的利用在实践中更为复杂，但仍有可能。”

研究人员在白皮书(PDF)中介绍了他们的发现，其中还包含Node.js目标NPM CLI和Rocket.Chat 。他们将在USENIX Security'23会议上展示他们的研究成果。

原型污染会影响Node.js和JavaScript等基于原型的语言，它涉及“在运行时将属性注入对象的根原型[to]随后触发合法代码小工具的执行，这些小工具可以访问对象原型上的这些属性，”解释说简报_

研究人员着手寻找“在成熟的Node.js应用程序中超越DoS的端到端漏洞利用”，以及“第一个使用多标签静态污点分析来识别Node.js库中的原型污染的多阶段框架”和应用程序，以及检测通用小工具的混合方法”。

Parse Server RCE的技术细节最终将通过Trend Micro Zero Day Initiative(ZDI)博客披露。

今年Parse Server中解决的其他重大安全漏洞包括启用暴力猜测敏感用户数据的问题，以及影响Apple Game Center的高严重性身份验证绕过。