Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.71 and 9.7.1-alpha.1, file downloads via HTTP Range requests bypass the afterFind(Parse.File) trigger and its validators on storage adapters that support streaming (e.g. the default GridFS adapter). This allows access to files that should be protected by afterFind trigger authorization logic or built-in validators such as requireUser. This issue has been patched in versions 8.6.71 and 9.7.1-alpha.1.
Parse Server versions prior to 8.6.71 and 9.7.1-alpha.1 allow unauthorized file access through HTTP Range requests that bypass afterFind triggers and validators. This vulnerability affects file downloads on storage adapters supporting streaming, potentially exposing protected files to unauthorized users.
تسمح هذه الثغرة للمهاجمين بتجاوز آليات التفويض في Parse Server من خلال استخدام طلبات HTTP Range عند تنزيل الملفات. يؤثر هذا بشكل خاص على محولات التخزين التي تدعم البث مثل GridFS الافتراضي، مما يسمح بالوصول إلى الملفات التي يجب أن تكون محمية بواسطة منطق التفويض في afterFind.
إصدارات Parse Server السابقة للإصدار 8.6.71 و 9.7.1-alpha.1 تسمح بالوصول غير المصرح به للملفات من خلال طلبات HTTP Range التي تتجاوز مشغلات afterFind والمدققين. تؤثر هذه الثغرة على تنزيلات الملفات على محولات التخزين التي تدعم البث، مما قد يعرض الملفات المحمية للمستخدمين غير المصرح لهم.
Immediately upgrade Parse Server to version 8.6.71 or 9.7.1-alpha.1 or later. Review and audit all file access logs for unauthorized downloads via Range requests. Implement additional file access controls at the application and infrastructure level. Verify afterFind triggers are properly enforced on all file operations.
قم بترقية Parse Server فوراً إلى الإصدار 8.6.71 أو 9.7.1-alpha.1 أو إصدار أحدث. راجع وتدقيق جميع سجلات الوصول إلى الملفات للتنزيلات غير المصرح بها عبر طلبات Range. طبق ضوابط وصول إضافية على مستوى التطبيق والبنية التحتية. تحقق من أن مشغلات afterFind يتم فرضها بشكل صحيح على جميع عمليات الملفات.