一、 漏洞 CVE-2022-31112 基础信息
漏洞标题
通过 LiveQuery 在解析服务器中暴露的保密字段
来源:AIGC 神龙大模型
漏洞描述信息
在parse-server中,通过LiveQuery暴露受保护的字段
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Protected fields exposed via LiveQuery in parse-server
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. In affected versions parse Server LiveQuery does not remove protected fields in classes, passing them to the client. The LiveQueryController now removes protected fields from the client response. Users are advised to upgrade. Users unable t upgrade should use `Parse.Cloud.afterLiveQueryEvent` to manually remove protected fields.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Parse Server 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Parse Server是一个开源后端,可以部署到任何可以运行 Node.js 的基础设施。 Parse Server存在信息泄露漏洞,该漏洞源于解析服务器 LiveQuery 不会删除类中的受保护字段,而是将它们传递给客户端。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-31112 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-31112 的情报信息