Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 8.6.13 and 9.5.1-alpha.2, an unauthenticated attacker can crash the Parse Server process by calling a Cloud Function endpoint with a prototype property name as the function name. The server recurses infinitely, causing a call stack size error that terminates the process. Other prototype property names bypass Cloud Function dispatch validation and return HTTP 200 responses, even though no such Cloud Functions are defined. The same applies to dot-notation traversal. All Parse Server deployments that expose the Cloud Function endpoint are affected. This vulnerability is fixed in 8.6.13 and 9.5.1-alpha.2.
Parse Server versions prior to 8.6.13 and 9.5.1-alpha.2 are vulnerable to unauthenticated denial of service attacks through Cloud Function endpoints using prototype property names. Attackers can crash the server process or bypass validation by exploiting prototype pollution mechanisms.
يسمح هذا الضعف للمهاجمين غير المصرحين بإرسال طلبات إلى نقاط نهاية Cloud Function باستخدام أسماء خصائص النموذج الأولي مثل __proto__ أو constructor. يؤدي هذا إلى تكرار لا نهائي يسبب خطأ حجم مكدس الاستدعاء وتعطل العملية.
خوادم Parse السابقة للإصدارات 8.6.13 و 9.5.1-alpha.2 عرضة لهجمات حجب الخدمة من قبل مهاجمين غير مصرحين عبر نقاط نهاية Cloud Function. يمكن للمهاجمين إيقاف عملية الخادم أو تجاوز التحقق من الصحة باستخدام آليات تلوث النموذج الأولي.
Immediately upgrade Parse Server to version 8.6.13 or 9.5.1-alpha.2 or later. If immediate upgrade is not possible, implement network-level access controls to restrict Cloud Function endpoints to authenticated users only and monitor for suspicious function name patterns in logs.
قم بترقية Parse Server فوراً إلى الإصدار 8.6.13 أو 9.5.1-alpha.2 أو أحدث. إذا لم تكن الترقية الفورية ممكنة، طبق عناصر تحكم الوصول على مستوى الشبكة لتقييد نقاط نهاية Cloud Function للمستخدمين المصرحين فقط ومراقبة أسماء الدوال المريبة في السجلات.