Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.63 and 9.7.0-alpha.7, the verify password endpoint returns unsanitized authentication data, including MFA TOTP secrets, recovery codes, and OAuth access tokens. An attacker who knows a user's password can extract the MFA secret to generate valid MFA codes, defeating multi-factor authentication protection. This issue has been patched in versions 8.6.63 and 9.7.0-alpha.7.
Parse Server versions prior to 8.6.63 and 9.7.0-alpha.7 expose sensitive authentication data including MFA TOTP secrets and OAuth tokens through the verify password endpoint. An attacker with knowledge of a user's password can extract MFA secrets to bypass multi-factor authentication protections.
يكشف الثغرة عن بيانات المصادقة الحساسة من خلال نقطة نهاية التحقق من كلمة المرور في Parse Server. يمكن لأي مهاجم يمتلك كلمة مرور المستخدم الوصول إلى أسرار TOTP والتوكنات والأكواد المستخدمة في المصادقة متعددة العوامل. هذا يؤدي إلى تجاوز كامل لآليات الحماية المتقدمة.
إصدارات Parse Server السابقة للإصدار 8.6.63 و 9.7.0-alpha.7 تكشف بيانات المصادقة الحساسة بما في ذلك أسرار TOTP للمصادقة متعددة العوامل وتوكنات OAuth. يمكن للمهاجم الذي يعرف كلمة مرور المستخدم استخراج أسرار MFA لتجاوز حماية المصادقة متعددة العوامل.
Upgrade Parse Server to version 8.6.63 or 9.7.0-alpha.7 or later immediately. Review access logs for unauthorized password verification attempts. Rotate all MFA secrets, OAuth tokens, and recovery codes for affected users. Implement additional monitoring on authentication endpoints.
قم بترقية Parse Server إلى الإصدار 8.6.63 أو 9.7.0-alpha.7 أو أحدث على الفور. راجع سجلات الوصول للتحقق من محاولات التحقق من كلمة المرور غير المصرح بها. أعد تعيين جميع أسرار MFA وتوكنات OAuth وأكواد الاسترجاع للمستخدمين المتأثرين. قم بتنفيذ مراقبة إضافية على نقاط نهاية المصادقة.