Parse Server SQL注入漏洞(CVE-2024-27298)预警

发布者:信息化工委会文章来源:信息化工委会发布时间:2024-03-13浏览次数:23

一、漏洞详情

Parse Server是一款开源的、基于node.js的后端框架。

近日,监测到Parse Server中修复了一个SQL注入漏洞(CVE-2024-27298),Parse Server受影响版本中,当Parse Server配置为使用PostgreSQL 数据库时,由于未能正确清理正则表达式以防止注入,导致存在SQL注入漏洞,威胁者可利用该漏洞获取敏感信息或执行未授权操作。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Parse Server < 6.5.0

7.0.0-alpha.1 <=Parse Server< 7.0.0-alpha.20

三、修复建议

目前该漏洞已经修复,受影响用户可升级到Parse Server 6.5.07.0.0-alpha.20或更高版本。