Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.58 and 9.6.0-alpha.52, an unauthenticated attacker can cause denial of service by sending authentication requests with arbitrary, unconfigured provider names. The server executes a database query for each unconfigured provider before rejecting the request, and since no database index exists for unconfigured providers, each request triggers a full collection scan on the user database. This can be parallelized to saturate database resources. This issue has been patched in versions 8.6.58 and 9.6.0-alpha.52.
Parse Server versions prior to 8.6.58 and 9.6.0-alpha.52 are vulnerable to unauthenticated denial of service attacks through arbitrary authentication provider names that trigger expensive database queries. Attackers can parallelize requests to exhaust database resources and degrade service availability.
يسمح هذا الثغر للمهاجمين غير المصرح لهم بإرسال طلبات مصادقة بأسماء موفرين غير مكونة، مما يؤدي إلى تنفيذ استعلامات قاعدة بيانات مكلفة بدون فهارس. يمكن توازي هذه الطلبات لاستنزاف موارد قاعدة البيانات وإيقاف الخدمة عن العمل.
خادم Parse في الإصدارات السابقة للإصدار 8.6.58 و 9.6.0-alpha.52 عرضة لهجمات حجب الخدمة غير المصرح بها من خلال أسماء موفري المصادقة العشوائية. يمكن للمهاجمين توازي الطلبات لاستنزاف موارد قاعدة البيانات وتقليل توفر الخدمة.
Upgrade Parse Server to version 8.6.58 or 9.6.0-alpha.52 or later immediately. Implement rate limiting on authentication endpoints and add database indexes for provider lookups. Monitor database query performance and implement request throttling for unauthenticated authentication attempts.
قم بترقية Parse Server إلى الإصدار 8.6.58 أو 9.6.0-alpha.52 أو أحدث فوراً. طبق تحديد معدل على نقاط نهاية المصادقة وأضف فهارس قاعدة بيانات لعمليات البحث عن الموفرين. راقب أداء استعلامات قاعدة البيانات وطبق تقييد الطلبات لمحاولات المصادقة غير المصرح بها.