Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.59 and 9.6.0-alpha.53, an attacker with master key access can execute arbitrary SQL statements on the PostgreSQL database by injecting SQL metacharacters into field name parameters of the aggregate $group pipeline stage or the distinct operation. This allows privilege escalation from Parse Server application-level administrator to PostgreSQL database-level access. Only Parse Server deployments using PostgreSQL are affected. MongoDB deployments are not affected. This issue has been patched in versions 8.6.59 and 9.6.0-alpha.53.
Parse Server versions prior to 8.6.59 and 9.6.0-alpha.53 are vulnerable to SQL injection through field name parameters in aggregate operations, allowing attackers with master key access to execute arbitrary SQL on PostgreSQL databases. This vulnerability enables privilege escalation from application-level administrator to database-level access on affected PostgreSQL deployments.
يؤثر هذا الضعف على خوادم Parse التي تستخدم PostgreSQL كقاعدة بيانات خلفية، حيث يمكن للمهاجمين الذين لديهم وصول المفتاح الرئيسي حقن أحرف SQL في معاملات أسماء الحقول. يسمح الضعف بتنفيذ عمليات SQL تعسفية وتصعيد الامتيازات إلى مستوى قاعدة البيانات. لا تتأثر نشرات MongoDB بهذا الضعف.
خوادم Parse السابقة للإصدارات 8.6.59 و 9.6.0-alpha.53 عرضة لحقن SQL من خلال معاملات أسماء الحقول في العمليات المجمعة، مما يسمح للمهاجمين الذين لديهم وصول مفتاح رئيسي بتنفيذ SQL تعسفي على قواعد بيانات PostgreSQL. يمكّن هذا الضعف من تصعيد الامتيازات من مسؤول على مستوى التطبيق إلى وصول على مستوى قاعدة البيانات.
Upgrade Parse Server immediately to version 8.6.59 or 9.6.0-alpha.53 or later. Restrict master key access to trusted administrators only. Implement network segmentation to limit database access. Monitor PostgreSQL query logs for suspicious SQL patterns. Review and audit all users with master key privileges.
قم بترقية Parse Server فوراً إلى الإصدار 8.6.59 أو 9.6.0-alpha.53 أو أحدث. قيّد وصول المفتاح الرئيسي للمسؤولين الموثوقين فقط. طبّق تقسيم الشبكة لتحديد وصول قاعدة البيانات. راقب سجلات استعلامات PostgreSQL للأنماط المريبة. راجع وتدقيق جميع المستخدمين الذين لديهم امتيازات المفتاح الرئيسي.