漏洞概述 漏洞编号: GHSA-wp7p-gg32-8258 问题: Parse Server 的 端点存在身份验证数据泄露漏洞。当用户启用多因素认证(MFA)后,调用密码验证接口时,响应中会包含原始的 MFA 密钥( )和恢复码( )等敏感信息。 根因: 中的 方法在返回用户数据前,未对 字段进行脱敏处理,导致数据库中的原始认证数据直接暴露给客户端。 --- 影响范围 受影响版本: Parse Server 6.x 系列(具体为 6.0.0 - 6.6.3 之间版本) 受影响端点: - - 风险: 攻击者获取 MFA 密钥后可绕过双因素认证,或利用恢复码重置账户访问权限 --- 修复方案 核心修复: 在返回响应前,调用 对 进行脱敏处理,移除敏感字段。 测试用例验证: 修复后验证响应中 和 应为 ,仅保留 状态标识。 --- POC/测试代码