CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15126 – Information disclosure through Viewer query in parse-server
https://notcve.org/view.php?id=CVE-2020-15126
In parser-server from version 3.5.0 and before 4.3.0, an authenticated user using the viewer GraphQL query can by pass all read security on his User object and can also by pass all objects linked via relation or Pointer on his User object. En parser-server desde la versión 3.5.0 y anteriores a 4.3.0, un usuario autenticado que use la consulta GraphQL del visualizador puede pasar toda la seguridad de lectura en su objeto Usuario y también puede pasar todos los objetos vinculados por medio de una relación o Puntero en su objeto de Usuario • https://github.com/parse-community/parse-server/blob/master/CHANGELOG.md#430 https://github.com/parse-community/parse-server/commit/78239ac9071167fdf243c55ae4bc9a2c0b0d89aa https://github.com/parse-community/parse-server/security/advisories/GHSA-236h-rqv8-8q73 • CWE-863: Incorrect Authorization •