CVE-2021-47986
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w Parse Server przed wersją 4.10.0 wynika z błędnego oznaczenia wersji w repozytorium, które wskazywały na nieprzejrzany kod z prywatnego forka. Atakujący mógł wykorzystać te oznaczenia w deklaracjach zależności, aby uruchomić nieprzejrzany i potencjalnie złośliwy kod.
Ocena ryzyka
Organizacja może zostać narażona na wykonanie nieautoryzowanego kodu w środowisku produkcyjnym, co może prowadzić do naruszenia integralności danych, wycieku informacji lub przejęcia kontroli nad systemem.
Rekomendacja
Należy natychmiast zaktualizować Parse Server do wersji 4.10.0 lub nowszej, a także zweryfikować integralność używanych zależności i unikać korzystania z nieoficjalnych forków.
Oryginalny opis (angielski, źródło NVD)
Parse Server before 4.10.0 contains a supply chain vulnerability where incorrect version tags were pushed to the repository linking to unreviewed code in a personal fork. Attackers could exploit this by specifying affected version tags in dependency declarations to execute unreviewed and potentially malicious code.

