漏洞概述 漏洞编号: GHSA-w73w-g5sw-rwhf 漏洞类型: MFA(多因素认证)单使用令牌绕过 漏洞描述: 攻击者可通过并发 登录请求绕过MFA恢复码的单次使用限制,实现MFA恢复码的重用攻击。 --- 影响范围 受影响组件: Parse Server 的 中的 方法 影响版本: 修复前版本 攻击场景: 当用户使用MFA恢复码登录时,并发发送多个包含相同恢复码的登录请求,可导致单个恢复码被多次成功使用 --- 修复方案 核心修复机制 在 中引入乐观锁(Optimistic Locking)机制: 1. 捕获原始 : 在修改前保存原始 状态 2. 数组字段精确匹配: 在数据库UPDATE操作的WHERE子句中,包含原始数组字段值作为条件 3. 并发安全: 确保只有一个并发请求能成功更新,其余请求因数据已变更而失败 关键代码变更 --- POC/测试代码