Parse Dashboard Has a Cache Key Collision that Leaks Master Key to Read-Only Sessions

Parse Dashboard possui uma falha no sistema de cache que usa a mesma chave para armazenar tanto a chave mestre completa quanto a chave mestre somente leitura, permitindo que um usuário com acesso restrito receba acidentalmente a chave mestre completa em certas condições de tempo. Isso compromete a segurança ao conceder acesso não autorizado a credenciais administrativas sensíveis.

O ConfigKeyCache no Parse Dashboard versões 7.3.0-alpha.42 até 9.0.0-alpha.7 falha em diferenciar chaves de cache ao resolver chaves mestres do tipo função, criando uma colisão de cache. Sob condições de corrida, consultas ao cache podem retornar o tipo de credencial incorreto (chave mestre ao invés de chave somente leitura), permitindo escalação de privilégio e acesso administrativo não autorizado.