漏洞概述 漏洞编号: GHSA-q3p6-q7c4-82gc 漏洞标题: GraphQL API endpoint ignores CORS origin restriction(GraphQL API 端点忽略 CORS 源限制) 该漏洞导致 Parse Server 的 GraphQL 端点未正确验证 配置,攻击者可绕过 CORS 同源策略限制,从任意恶意网站发起跨域请求。 影响范围 受影响版本: 9.7.1-alpha.4 至 9.7.0-alpha.10 之间的版本 受影响组件: 类 具体问题: - GraphQL 端点未应用 服务器选项 - 响应头 反射任意请求源,而非验证后的允许源 修复方案 核心代码变更 文件: 关键修改: 1. 导入 中间件替代原生的 处理 2. 在 Express 应用链中注入 中间件 安全测试用例(POC/验证代码) 文件: (第5106-5224行) 修复验证 原有测试用例同步更新( 第515行):