漏洞总结 漏洞概述 MFA单用途令牌通过并发authData登录请求被绕过([GHSA-w73w-g5sw-rw9f]) 该漏洞允许攻击者通过并发发送多个使用相同MFA恢复码的authData登录请求,绕过MFA单用途令牌的保护机制。正常情况下,MFA恢复码只能使用一次,但由于并发请求的竞争条件,多个请求可能同时验证通过,导致恢复码被重复使用。 影响范围 受影响版本: Parse Server 9.7.1-alpha.4 之前的版本 修复版本: 9.7.0-alpha.8 漏洞类型: 竞争条件(Race Condition)/ 并发绕过 CVSS参考: GHSA-w73w-g5sw-rw9f 修复方案 在 中实现乐观锁机制: 1. 捕获原始authData: 在更新前保存用户原始的authData状态 2. 添加查询条件: 在数据库更新时,将原始数组字段值加入WHERE子句 3. 防止并发成功: 确保只有第一个请求能成功更新,后续并发请求会因条件不匹配而失败 核心修复代码逻辑: POC/测试代码