热门开源后端软件Parse Server中存在严重的 RCE ，CVSS评分10分

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

3月11日，GitHub 发布安全公告表示，该漏洞位于 MongoDB 的一个默认配置中，已确认存在于该软件的 Ubuntu 和 Windows 版本中。漏洞由安全研究员 Mikhail Shcherbakov、Cristian-Alexandru Staicu 和 Musard Balliu 发现。

该漏洞的根因在于原型污染。

当攻击者滥用 JavaScript编程语言的规则攻陷应用程序时就会发生原型污染，导致RCE、XSS、SQL 注入等攻击。

Parser Server 是一款开源的适用于运行 Node.js 的服务器和系统后端软件，可同时独立或和其它 web 应用框架如 MongoDB 和 PostgreSQL 一起运行。

研究人员指出，parse-server NPM 的函数DatabaseController.js 代码是漏洞源头。

Shcherbakov 和 Staicu 表示，由于该漏洞位于数据库函数中，因此将“可能也影响 Postgres 和其它数据库后端。” Shcherbakov指出，易受攻击的代码并非特定存在于某个数据库模块中，而且从理论上来讲，“任何数据库后端应该皆可触及。然而，利用该漏洞要求小工具获得任意代码执行和某种条件竞争，按照所要求的顺序执行该小工具。我在 MongoDB 模块中找到了该小工具和条件竞争来演示exploit。虽然我并未尝试使用其它数据库，但很可能也适用。”

虽然美国国家标准与技术研究院 (NIST) 尚未给出正式CVSS评分，不过GitHub 作为CVE漏洞编号发布机构已分配了基本分10分。

Parse Server 4.10.7 中已包含补丁。部分修复方案中包含敏感关键词扫描器，以防御原型污染攻击。

建议用户至少升级至Parse Server v4.10.7 版本。

如无法使用推荐的更新，则可修复 MongoDB Node.js 驱动并禁用 BSON 代码执行缓解该漏洞。

最新发布build 是5.0.0，它绑定了新的改进的文件上传安全控制。

目前 Parse Server 的开发人员尚未就此事做出回应。我们将持续跟进事态发展。