漏洞概述 Session 字段可变性绕过漏洞 - Parse Server 中存在会话字段( , , , )的不可变性保护机制被绕过的问题。攻击者可通过在更新请求中将这些字段设置为 来非法修改本应不可变的会话属性。 影响范围 受影响组件: Parse Server 的会话管理模块 ( ) 漏洞类型: 访问控制绕过 / 数据完整性破坏 攻击场景: 通过 PUT 请求更新会话时,将受保护字段设为 即可绕过不可变性检查 修复方案 通过真值守卫(truthy-value guard)替代原有的存在性检查(in 操作符),确保只有显式提供有效值时才进行不可变性验证: POC/测试代码