【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)

04112

一、漏洞概述

漏洞名称
  Parse  Server SQL注入漏洞
CVE   ID
CVE-2024-27298
漏洞类型
SQL注入
发现时间
2024-03-04
漏洞评分
10.0
漏洞等级
严重
攻击向量
网络
所需权限
利用难度
用户交互
PoC/EXP
已公开
在野利用
未知

Parse Server 是一款开源的、基于node.js的后端框架。

2024年3月4日,启明星辰VSRC监测到Parse Server中修复了一个SQL注入漏洞(CVE-2024-27298),该漏洞的CVSS评分为10.0。

Parse Server受影响版本中,当Parse Server配置为使用 PostgreSQL 数据库时,由于未能正确清理正则表达式以防止注入,导致存在SQL 注入漏洞,威胁者可利用该漏洞获取敏感信息或执行未授权操作。


二、影响范围

Parse Server < 6.5.0

7.0.0-alpha.1 <=Parse Server< 7.0.0-alpha.20

三、安全措施

3.1 升级版本

目前该漏洞已经修复,受影响用户可升级到Parse Server 6.5.0、7.0.0-alpha.20或更高版本。

下载链接:

https://github.com/parse-community/parse-server/releases/tag/6.5.0

3.2 临时措施

暂无。

3.3 通用建议

1. 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

2. 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

3. 使用企业级安全产品,提升企业的网络安全性能。

4. 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

5. 启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/parse-community/parse-server/security/advisories/GHSA-6927-3vr9-fxf2

https://github.com/parse-community/parse-server/pull/8960

https://github.com/parse-community/parse-server/commit/a6e654943536932904a69b51e513507fcf90a504

文章版权声明 1、本网站名称:Happy峰安全运营之路
2、本站永久网址:https://blog.chenjiangfeng.com
3、本站发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
4、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
5、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
6、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
7、根据《计算机软件保护条例》第十七条,本站所有软件请仅用于学习研究用途

© 版权声明
本站所有内容(包括但不限于文字、图片、视频等)均受到版权法保护,归作者所有,未经授权不得转载、复制或用于其他任何商业目的。 转载请注明出处,并保留原文链接。对于未经授权的使用,我们将保留追究法律责任的权利。
THE END
漏洞通告
喜欢就支持一下吧
点赞12打赏 分享
Happy峰的头像-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
1个月前 67
NTP服务部署-Happy峰
NTP服务部署
NTP服务部署
5年前 64
使用PXE+Kickstart无人值守安装服务。-Happy峰
使用PXE+Kickstart无人值守安装服务。
使用PXE+Kickstart无人值守安装服务。
5年前 60
Windows之启动项-Happy峰
Windows之启动项
Windows之启动项
2年前 60
ISO27001信息安全管理体系建设-Happy峰
ISO27001信息安全管理体系建设
ISO27001信息安全管理体系建设
2年前 60
AWVS部署-Happy峰
AWVS部署
AWVS部署
2年前 57
相关推荐
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)-Happy峰
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
【漏洞通告】DataEase反序列化漏洞(CVE-2024-23328)
1个月前 67
漏洞预警 | 74cmsSE任意文件上传漏洞-Happy峰
漏洞预警 | 74cmsSE任意文件上传漏洞
漏洞预警 | 74cmsSE任意文件上传漏洞
1个月前 47
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)-Happy峰
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)
【漏洞通告】Linux kernel权限提升漏洞(CVE-2024-1086)
1个月前 47
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)-Happy峰
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)
【漏洞通告】Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)
1个月前 43
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)-Happy峰
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)
【漏洞通告】Parse Server SQL注入漏洞(CVE-2024-27298)
1个月前 41
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)-Happy峰
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)
【漏洞通告】GhostRace CPU信息泄露漏洞(CVE-2024-2193)
1个月前 40
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
图片

    暂无评论内容