Уязвимость BDU:2022-04318

Идентификатор: BDU:2022-04318.

Наименование уязвимости: Уязвимость адаптера аутентификации Apple Game Center сервера синтаксического анализа Parse Server, позволяющая нарушителю обойти процесс аутентификации.

Описание уязвимости: Уязвимость адаптера аутентификации Apple Game Center сервера синтаксического анализа Parse Server связана с отсутствием проверки сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процесс аутентификации с помощью поддельного сертификата
Уязвимое ПО: Прикладное ПО информационных систем Parse Server до 4.10.11 | Прикладное ПО информационных систем Parse Server от 5.0.0 до 5.2.2 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 17.06.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/parse-community/parse-server/security/advisories/GHSA-rh9j-f5f8-rvgc.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-31083.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/parse-community/parse-server/security/advisories/GHSA-rh9j-f5f8-rvgc
https://github.com/parse-community/parse-server/pull/8054
https://github.com/parse-community/parse-server/commit/ba2b0a9cb9a568817a114b132a4c2e0911d76df1
https://developer.apple.com/news/?id=stttq465
https://vuldb.com/?ctiid.202357
https://www.cybersecurity-help.cz/vdb/SB2022062736