漏洞关键信息总结 漏洞概述 漏洞名称:Cloud Function validator bypass via prototype chain traversal CVE编号:GHSA-vpj2-4q7w-5qq8 漏洞类型:原型链污染导致的安全验证绕过 攻击者可通过在函数名后添加 或 后缀,绕过云函数的 和 验证机制,未授权调用受保护的云函数。 --- 影响范围 受影响版本:Parse Server 9.7.1-alpha.4 至 9.7.0-alpha.11 修复版本:commit dc59e27 --- 修复方案 核心修复代码( ): 修复原理:通过 检查,确保获取的存储对象不是来自原型链上的属性,阻止通过 、 等原型属性进行污染攻击。 --- POC/测试代码 测试用例 1:通过 绕过 验证 测试用例 2:通过 绕过验证 测试用例 3:绕过 验证 正常调用验证(确保修复不影响正常功能)