漏洞总结 漏洞概述 LiveQuery 受保护字段通过并发订阅者泄漏共享可变状态(GHSA-m883-v2ff-wq85) 该漏洞存在于 Parse Server 的 LiveQuery 功能中。当多个客户端(包括拥有 master key 的客户端和普通客户端)同时订阅同一查询时,受保护的字段(protected fields)可能通过共享的可变对象状态泄漏给未经授权的客户端。 影响范围 受影响版本: 9.7.1-alpha.4 至 9.7.0-alpha.9 之间 修复版本: 9.7.0-alpha.9 漏洞类型: 信息泄漏 / 竞争条件 攻击场景: - 攻击者与普通用户或 master key 用户同时订阅相同的 LiveQuery - 在 、 、 事件触发时,可能看到本应隐藏的受保护字段 修复方案 通过 commit 修复,主要修改: 文件: (新增测试用例) 文件: (修复代码) 修复核心:确保每个 LiveQuery 客户端接收到的对象是独立的副本,而非共享的引用,防止 afterEvent 触发器或权限检查过程中的对象修改影响其他客户端。 --- POC/测试代码(完整提取)