Katalog CVE

CVE-2021-47986

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w Parse Server przed wersją 4.10.0 wynika z błędnego oznaczenia wersji w repozytorium, które wskazywały na nieprzejrzany kod z prywatnego forka. Atakujący mógł wykorzystać te oznaczenia w deklaracjach zależności, aby uruchomić nieprzejrzany i potencjalnie złośliwy kod.

Ocena ryzyka

Organizacja może zostać narażona na wykonanie nieautoryzowanego kodu w środowisku produkcyjnym, co może prowadzić do naruszenia integralności danych, wycieku informacji lub przejęcia kontroli nad systemem.

Rekomendacja

Należy natychmiast zaktualizować Parse Server do wersji 4.10.0 lub nowszej, a także zweryfikować integralność używanych zależności i unikać korzystania z nieoficjalnych forków.

Oryginalny opis (angielski, źródło NVD)

Parse Server before 4.10.0 contains a supply chain vulnerability where incorrect version tags were pushed to the repository linking to unreviewed code in a personal fork. Attackers could exploit this by specifying affected version tags in dependency declarations to execute unreviewed and potentially malicious code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS