漏洞概述 Cloud function validator bypass via prototype chain traversal(通过原型链遍历绕过云函数验证器) 严重等级:Critical(9.1/10) CVE编号:CVE-2024-34332 CWE编号:CWE-863 攻击者可通过在URL中的函数名后附加 来绕过Cloud Function验证器的访问控制。当Cloud Function处理程序使用 关键字声明且其验证器为普通对象或箭头函数时,触发器存储遍历会通过自身的原型链解析处理程序,而验证器存储未能镜像此遍历,导致跳过所有访问控制强制检查。 影响范围 攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:无 影响:允许未经身份验证的调用者调用本应受 、 或自定义验证逻辑保护的Cloud Functions。 修复方案 官方补丁 触发器存储遍历现在会验证每个中间节点是否为合法的存储对象,然后才继续遍历。如果遍历遇到非存储值(如函数处理程序),则停止并返回空存储,防止原型链逃逸。 临时缓解措施 使用箭头函数代替 关键字声明Cloud Function处理程序。箭头函数没有 属性,不受此漏洞影响。 参考链接 GitHub安全公告:GHSA-vpqj-2f9x-rw8g Parse Server PR #10342 Parse Server PR #10343