CVE-2024-29027 — 神龙十问 AI 深度分析摘要

🚨 **本质**：调用无效的 Cloud Function/Job 名称导致服务崩溃。 💥 **后果**：Parse Server 服务不可用，直接导致 **拒绝服务 (DoS)**。 ⚠️ 注意：虽然 CVSS 评分高，但描述主要强调“服务崩溃”，未明确提及远程代码执行 (RCE)。

🔍 **CWE**：CWE-74 (OS Command Injection)。 🐛 **缺陷点**：对 **无效的函数/作业名称** 缺乏有效校验或处理不当。 📉 导致底层逻辑异常，进而引发进程崩溃。

📦 **组件**：Parse Server (开源后端)。 📅 **受影响版本**： - 6.5.5 之前 - 7.0.0-alpha.29 之前 🏢 **厂商**：parse-community。

🛡️ **当前描述**：主要风险是 **服务崩溃 (Availability)**。 🔓 **CVSS暗示**：C:H/I:H/A:H 暗示潜在的数据泄露或完整性破坏风险。 ⚠️ 但基于描述，黑客主要能 **让服务宕机**，暂未明确证实可获取 Shell 或读取敏感数据。

🚪 **利用门槛**： - **认证**：PR:N (无需认证)。 - **攻击复杂度**：AC:H (高)。 - **交互**：UI:N (无需用户交互)。 ✅ 意味着 **无需登录** 即可触发，但构造有效载荷有一定复杂度。

📜 **PoC/Exp**：数据中 `pocs` 字段为空。 🔗 **参考链接**：提供了 GitHub Release 和 Commit 链接，但未提供公开的 Exploit 代码。 🕵️ **在野利用**：无明确证据表明已在野广泛利用。

🔎 **自查方法**： 1. 检查 Parse Server 版本是否 < 6.5.5 或 < 7.0.0-alpha.29。 2. 监控服务日志，查看是否有因 **无效 Cloud Function/Job 名称** 导致的崩溃记录。 3. 使用扫描器检测是否存在未修复的 Parse Server 实例。

🛠️ **官方修复**： - 已发布修复版本：**6.5.5** 和 **7.0.0-alpha.29**。 - 修复提交：见 GitHub Commit 链接。 ✅ 建议立即升级到 **6.5.5** 或更高版本。

⏳ **临时规避**： - 如果没有补丁，需严格校验传入的 Cloud Function/Job 名称。 - 实施 **WAF 规则**，拦截包含特殊字符或异常格式的函数调用请求。 - 限制对 Parse Server API 的访问权限（虽然 PR:N，但网络层限制有帮助）。

🚨 **优先级**： - **CVSS 评分**：高 (9.8)。 - **建议**：**紧急修复**。 - 理由：无需认证即可触发崩溃，严重影响业务可用性。即使主要风险是 DoS，高可用性要求下也必须立即处理。