漏洞概述 漏洞编号: GHSA-q3p6-g7c4-829c / GHSA-q3p6-g7c4-829c (#10335) 问题: GraphQL API 端点忽略 CORS 来源限制 (CORS origin restriction),导致 GraphQL 端点未正确验证请求来源,存在跨域安全风险。 影响范围 组件: Parse Server 的 GraphQL 端点 ( ) 版本: 修复前版本(从 commit 信息看涉及 6.6.73 到 6.6.66 的更新) 具体问题: - GraphQL 端点未正确应用 服务器配置选项 - 未授权的跨域请求可能被错误地允许 - 即使配置了特定的允许来源,GraphQL 端点仍可能接受来自任意来源的请求 修复方案 核心代码变更 文件: 1. 新增 CORS 中间件导入: 2. 应用 CORS 中间件到 GraphQL 路径: 3. 上下文处理调整: 移除了硬编码的 响应头设置,改为由中间件统一处理。 关键测试用例 (POC/验证代码) 修复总结 通过在 GraphQL 端点路由上添加 中间件,使 GraphQL API 正确遵循 Parse Server 的 配置,确保 CORS 来源限制对 GraphQL 端点生效。