漏洞概述 漏洞名称: LiveQuery protected field leak via shared mutable state across concurrent subscribers CVE编号: GHSA-m983-vzff-wq65 提交ID: 5834e29 严重程度: 高危 (8.0/10) 该漏洞是Parse Server中LiveQuery功能的安全缺陷,当多个客户端(包括使用master key的客户端和普通客户端)并发订阅同一查询时,由于共享可变状态导致受保护字段泄露。具体表现为:普通客户端可能接收到本应仅对master key客户端可见的受保护字段数据。 影响范围 受影响组件: Parse Server LiveQuery功能 触发条件: - 多个客户端并发订阅同一LiveQuery - 存在使用master key的客户端与普通客户端同时订阅 - 数据对象包含 配置 影响版本: 修复前的Parse Server版本 修复方案 通过提交5834e29修复,主要修改文件: - 新增安全测试用例 - 修复共享状态问题 核心修复策略: 确保每个LiveQuery事件处理时创建独立的对象副本,避免不同权限客户端之间的数据污染。 POC/测试代码 以下为漏洞修复时添加的完整测试用例,验证多种并发场景下的字段泄露问题: