Уязвимость в Apple Game Center позволяла обходить авторизацию
Проблема затрагивала версии Parse Server до 4.10.11 и 5.2.2.
Исследователи безопасности обнаружили опасную уязвимость, затрагивающую приложение Apple Game Center, которая позволяла обходить авторизацию.
Уязвимость существует в платформе с открытым исходным кодом для разработки приложений Parse Server, которую можно развертывать в любой инфраструктуре с Node.js. Согласно опубликованному недавно уведомлению на GitHub, адаптер авторизации в Apple Game Center не проверяет подлинность цифрового сертификата. То есть, злоумышленник может выложить на определенных доменах Apple поддельный сертификат, добавить его URL-адрес в объект authData и таким образом обойти аутентификацию.
Уязвимость получила идентификатор CVE-2022-31083 и была оценена в 8,6 балла из 10 по шкале оценивания опасности CVSS. Проблема затрагивает версии Parse Server до 4.10.11 и 5.2.2.
В версиях 4.10.11 и 5.2.2 уязвимость уже исправлена путем добавления в адаптер авторизации Parse Server Apple Game Center нового свойства rootCertificateUrl, которое «в качестве сертификата аутентификации Apple Game Center принимает URL-адрес корневого сертификата». Поэтому, если разработчик не установил для него значение, новое свойство по умолчанию устанавливает URL-адрес существующего корневого сертификата. При использовании адаптера авторизации Parse Server Apple Game Center разработчикам рекомендуется следить за обновлениями URL-адреса корневого сертификата.
Ваш провайдер знает о вас больше, чем ваша девушка?