漏洞关键信息总结 漏洞概述 漏洞名称: Auth data exposed via verify password endpoint(验证密码端点暴露认证数据) CVE编号: CVE-2024-34351 严重程度: High(8.2/10) CWE: CWE-200(信息泄露) 漏洞描述: 端点返回未经过滤的认证数据,包括MFA TOTP密钥、恢复码和OAuth访问令牌。攻击者若知道用户密码,可提取MFA密钥生成有效的MFA验证码,从而绕过多因素认证保护。 --- 影响范围 --- 修复方案 补丁措施: 端点现在通过认证适配器钩子对认证数据进行过滤处理后再返回响应,与登录和用户检索端点的处理方式保持一致。 临时缓解措施: 无已知缓解方案(There is no known workaround) --- 参考链接 GitHub安全公告: GHSA-wp76-gg32-8258 Parse Server 9修复PR: #10223 Parse Server 8修复PR: #10224 --- > 注意: 页面中未包含POC代码或利用代码。