2024年7月3日,网上更新披露了一个parse-server SQL注入漏洞(CVE-2024-39309),Parse Server 是一个用于构建移动应用程序和Web应用程序开源框架,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,当 Parse Server 使用 PostgreSQL 数据库时,Parse Server 中的 literalizeRegexPart 函数在处理 PostgreSQL 查询时未能正确处理特殊字符和正则表达式转义字符\,导致 SQL 注入漏洞。修复版本中,通过改进转义逻辑并处理所有特殊字符以修复漏洞。
风险等级:高风险。
影响范围:
parse-server@(-∞, 6.5.7)
parse-server@[7.0.0, 7.1.0)
修复建议:
官方已经发布了修复此漏洞的版本,用户应更新到Parse Server的6.5.7版本或7.1.0及更高版本。
进行安全更新方法:
https://github.com/parse-community/parse-server/releases/tag/7.1.0
