漏洞概述 漏洞编号: GHSA-hpm8-9q6b-jwvw 漏洞类型: 文件下载绕过授权 问题: Parse Server 的文件下载功能存在安全漏洞, 文件触发器和验证器被绕过,导致未授权用户可通过 Range 请求头下载受保护文件。 影响范围 受影响版本: Parse Server 6.0.0 及以下版本 修复版本: 6.0.73 → 6.0.71(安全更新) 攻击场景: - 流式文件下载(streaming file download)绕过 触发器 - 非流式文件下载绕过 触发器 - 自定义授权验证被绕过 修复方案 核心修复(src/Routers/FilesRouter.js) 1. 新增认证解析方法 : - 从请求中提取 - 调用 验证用户身份 - 返回认证对象供触发器使用 2. 修复触发器调用参数: - 在 和 触发器中传入 参数 - 确保 正确传递给触发器函数 3. 关键代码变更: - 文件下载前强制解析用户认证 - 触发器调用时附加 确保权限检查生效 POC/测试代码(spec/vulnerabilities.spec.js) 修复验证 所有测试用例验证: 未认证用户请求文件 → 返回 已认证用户请求文件 → 正常返回 (Range请求)或 自定义授权拒绝 → 返回