关于Parse Server SQL注入漏洞（CVE-2024-27298）的预警提示

发布时间：2024-03-15浏览次数：47

一、漏洞详情 Parse Server是一款开源的、基于node.js的后端框架。 近日，监测到Parse Server中修复了一个SQL注入漏洞（CVE-2024-27298），Parse Server受影响版本中，当Parse Server配置为使用PostgreSQL 数据库时，由于未能正确清理正则表达式以防止注入，导致存在SQL注入漏洞，威胁者可利用该漏洞获取敏感信息或执行未授权操作。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。 二、影响范围 Parse Server < 6.5.0 7.0.0-alpha.1 <=Parse Server< 7.0.0-alpha.20 三、修复建议 目前该漏洞已经修复，受影响用户可升级到Parse Server 6.5.0、7.0.0-alpha.20或更高版本。