概要
Parse Dashboardは、Parse Serverアプリケーションを管理するためのスタンドアロンのダッシュボードです。この度、Parse Dashboardの特定のバージョンにおいて、AI Agent APIエンドポイント(POST /apps/:appId/agent)に複数のセキュリティ脆弱性が存在することが報告されました。これらの脆弱性が連鎖的に悪用された場合、認証されていないリモート攻撃者がマスターキーを利用し、接続されているParse Serverデータベースに対して任意のデータ読み取りおよび書き込み操作を実行する可能性があるとされています。この脆弱性の深刻度は「CRITICAL」と評価されています。
影響範囲
この脆弱性の影響を受けるのは、以下のParse Dashboardのバージョンです。
- バージョン 7.3.0-alpha.42 から 9.0.0-alpha.7
修正済みのバージョンは 9.0.0-alpha.8 以降と報告されています。
なお、この脆弱性はAI Agent機能が有効になっているParse Dashboardのみに影響します。Agent設定がされていないダッシュボードは影響を受けないとされています。
想定される影響
本脆弱性が悪用された場合、認証されていないリモート攻撃者が、マスターキーを使用して接続されているParse Serverデータベースに対し、任意のデータ読み取りおよび書き込み操作を実行する可能性があります。これにより、以下のような広範な被害につながる恐れがあります。
- 機密情報の漏洩
- データベース内のデータの改ざんまたは削除
- サービス停止(DoS)
- 不正なデータの挿入
攻撃成立条件・悪用状況
攻撃は、AI Agent APIエンドポイントに存在する複数のセキュリティ脆弱性を組み合わせることで成立すると報告されています。具体的には、認証不備、CSRF(クロスサイトリクエストフォージェリ)の欠如、および不適切な認可が指摘されています。
この脆弱性の悪用には、対象のParse DashboardでAI Agent機能が有効になっていることが条件となります。
現在のところ、この脆弱性の悪用状況に関する具体的な情報は提供されていません。
推奨対策
最優先で実施すべき対策
-
Parse Dashboardのアップデート:
Parse Dashboardをバージョン 9.0.0-alpha.8 以降にアップデートすることを強く推奨します。このバージョンでは、AI Agentエンドポイントに対して認証、CSRF検証、およびアプリごとの認可ミドルウェアが追加されており、脆弱性が修正されています。また、読み取り専用ユーザーは
readOnlyMasterKeyに制限され、サーバー側で書き込み権限が削除されるなど、権限管理も強化されています。
一時的な緩和策
-
Agent設定の削除またはコメントアウト:
Parse Dashboardの設定ファイルから、Agent機能に関する設定ブロックを削除するか、コメントアウトしてください。これにより、脆弱なAI Agentエンドポイントが無効化され、攻撃のリスクを軽減できると報告されています。
確認方法
-
Parse Dashboardのバージョン確認:
現在利用しているParse Dashboardのバージョンが、影響を受けるバージョン範囲(7.3.0-alpha.42 から 9.0.0-alpha.7)に含まれていないかを確認してください。
-
Agent機能の有効性確認:
Parse Dashboardの設定ファイルを確認し、AI Agent機能が有効になっているか、またはAgent設定ブロックが存在するかを確認してください。