关于Parse Server SQL注入漏洞（CVE-2024-27298）的预警提示-信息管理中心

当前位置: 网站首页 > 通知公告 > 正文

关于Parse Server SQL注入漏洞（CVE-2024-27298）的预警提示

阅读次数：发布时间：2024-03-14

一、漏洞详情

Parse Server是一款开源的、基于node.js的后端框架。

近日，监测到Parse Server中修复了一个SQL注入漏洞（CVE-2024-27298），Parse Server受影响版本中，当Parse Server配置为使用PostgreSQL 数据库时，由于未能正确清理正则表达式以防止注入，导致存在SQL注入漏洞，威胁者可利用该漏洞获取敏感信息或执行未授权操作。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Parse Server < 6.5.0

7.0.0-alpha.1 <=Parse Server< 7.0.0-alpha.20

三、修复建议

目前该漏洞已经修复，受影响用户可升级到Parse Server 6.5.0、7.0.0-alpha.20或更高版本。