Informazioni sul CVE-2025-30168
Parse Server has an OAuth login vulnerability
CWE ID: CWE-287
Base Score (CVSS): N/A
CVE: CVE-2025-30168
Descrizione: Il Server di Parsing è un backend open source che può essere distribuito su qualsiasi infrastruttura che può eseguire Node.js. Prima di 7.5.2 e 8.0.2, la gestione dell’autenticazione di terze parti di Parse Server permette di utilizzare le credenziali di autenticazione di alcuni fornitori di autenticazione specifici in più app Parse Server. Ad esempio, se un utente si è registrato utilizzando lo stesso fornitore di autenticazione in due app Parse Server diverse, i dati memorizzati in un’app possono essere utilizzati per autenticare lo stesso utente in un’altra app. Si noti che questo si applica solo a Parse Server app che utilizzano specificamente un fornitore di autenticazione di terze parti per l’autenticazione degli utenti, ad esempio impostando l’opzione Parse Server auth a configurare un adattatore di autenticazione Parse Server. La correzione di questa vulnerabilità richiede l’aggiornamento di Parse Server a una versione che include la correzione del bug, nonché l’aggiornamento dell’app client per inviare un payload sicuro, diverso dal precedente payload non sicuro. Questa vulnerabilità è stata corretta in 7.5.2 e 8.0.2.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: Required, Confidenzialità: High, Integrità: Low, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | L | Low | Impatto limitato. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/parse-community/parse-server/security/advisories/GHSA-837q-jhwx-cmpv
- https://github.com/parse-community/parse-server/pull/9667
- https://github.com/parse-community/parse-server/pull/9668
- https://github.com/parse-community/parse-server/commit/2ff9c71030bce3aada0a00fbceedeb7ae2c8a41e
- https://github.com/parse-community/parse-server/commit/5ef0440c8e763854e62341acaeb6dc4ade3ba82f
- https://docs.parseplatform.org/parse-server/guide/#oauth-and-3rd-party-authentication
Prodotti interessati
- parse-community – parse-server
Relazioni con altri prodotti
Produttore:parse-community
Prodotto: parse-server
Anno: 2025
CWE: CWE-287
CVSS: 0.0