概要
Parse Server の Google 認証アダプタに、JWT の alg フィールドを "none" に設定したトークンを偽造することで、Googleアカウントに紐づく任意のユーザーとして認証なしにログインできる脆弱性が存在します。
Google 認証を有効にしているすべての Parse Server デプロイが影響を受けます。修正版では、JWTヘッダーに依存せず RS256 アルゴリズムをハードコードし、Google アダプタのカスタムキーフェッチャーを jwks-rsa に置き換えて未知のキーIDを拒否するようになりました。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.1 |
| 深刻度 | Critical |
| CWE | CWE-327 (不適切な暗号アルゴリズム), CWE-345 (データ完全性検証の欠如) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Parse Server | parse-community | 8.6.3 / 9.1.1-alpha.4 未満 |
修正バージョンと回避策
- 修正バージョン: Parse Server 8.6.3 / 9.1.1-alpha.4
- 暫定回避策: アップデートが不可能な場合は、Google 認証を一時的に無効化
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。