Katalog CVE

CVE-2021-47987

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność dotyczy incydentu w łańcuchu dostaw Parse Server przed wersją 4.10.0, gdzie nieprawidłowe tagi wersji zostały wypchnięte do oficjalnego repozytorium, wskazując na nieprzejrzany prywatny fork współpracownika z uprawnieniami do zapisu. Nie opublikowano żadnych wydań z tymi tagami; projekt był narażony tylko wtedy, gdy definiował zależność opartą na git, odnoszącą się do jednego z dotkniętych tagów (np. parse-server#4.9.3). Kod za tagami nie został przejrzany ani zatwierdzony, a chociaż nie zidentyfikowano złośliwego kodu, nie można wykluczyć wprowadzenia luk w zabezpieczeniach.

Ocena ryzyka

Ryzyko dla organizacji polega na potencjalnym wykorzystaniu nieautoryzowanego kodu, który mógł zawierać luki w zabezpieczeniach, co mogło prowadzić do naruszenia integralności, poufności lub dostępności systemów korzystających z Parse Server.

Rekomendacja

Zaleca się natychmiastową aktualizację Parse Server do wersji 4.10.0 lub nowszej oraz weryfikację, czy żadne zależności git nie odnoszą się do dotkniętych tagów (np. parse-server#4.9.3).

Oryginalny opis (angielski, źródło NVD)

Parse Server before 4.10.0 was affected by a supply chain incident in which incorrect version tags were pushed to the official repository pointing to an unreviewed personal fork of a contributor with write access. No releases were published with these tags; a project was exposed only if it defined a git-based dependency referencing one of the affected tags (for example, parse-server#4.9.3). The code behind the tags was not reviewed or approved, and although no malicious code was identified, the introduction of security vulnerabilities could not be ruled out.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS