CVE-2021-47987
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność dotyczy incydentu w łańcuchu dostaw Parse Server przed wersją 4.10.0, gdzie nieprawidłowe tagi wersji zostały wypchnięte do oficjalnego repozytorium, wskazując na nieprzejrzany prywatny fork współpracownika z uprawnieniami do zapisu. Nie opublikowano żadnych wydań z tymi tagami; projekt był narażony tylko wtedy, gdy definiował zależność opartą na git, odnoszącą się do jednego z dotkniętych tagów (np. parse-server#4.9.3). Kod za tagami nie został przejrzany ani zatwierdzony, a chociaż nie zidentyfikowano złośliwego kodu, nie można wykluczyć wprowadzenia luk w zabezpieczeniach.
Ocena ryzyka
Ryzyko dla organizacji polega na potencjalnym wykorzystaniu nieautoryzowanego kodu, który mógł zawierać luki w zabezpieczeniach, co mogło prowadzić do naruszenia integralności, poufności lub dostępności systemów korzystających z Parse Server.
Rekomendacja
Zaleca się natychmiastową aktualizację Parse Server do wersji 4.10.0 lub nowszej oraz weryfikację, czy żadne zależności git nie odnoszą się do dotkniętych tagów (np. parse-server#4.9.3).
Oryginalny opis (angielski, źródło NVD)
Parse Server before 4.10.0 was affected by a supply chain incident in which incorrect version tags were pushed to the official repository pointing to an unreviewed personal fork of a contributor with write access. No releases were published with these tags; a project was exposed only if it defined a git-based dependency referencing one of the affected tags (for example, parse-server#4.9.3). The code behind the tags was not reviewed or approved, and although no malicious code was identified, the introduction of security vulnerabilities could not be ruled out.

