parse-server: bypass no bloqueio de extensões de upload de arquivos

Corrigido um bypass de segurança na lista de bloqueio de extensões de upload de arquivos. Antes, adicionar um ponto final a uma extensão bloqueada (ex.: 'poc.svg.') ignorava o bloqueio, permitindo XSS armazenado via Content-Type controlado pelo atacante. Agora, nomes de arquivo terminados em ponto são tratados como sem extensão, e o subtipo de Content-Type é validado contra a lista de bloqueio.

Todas as instâncias do parse-server que usam a lista de bloqueio padrão de upload de arquivos com adaptadores de armazenamento que persistem e servem Content-Type (ex.: S3, GCS). O adaptador GridFS não é afetado.

Atualize o parse-server para a versão corrigida. Se não for possível atualizar, configure o adaptador de armazenamento ou CDN para derivar o Content-Type da extensão do nome do arquivo, ou substitua a lista de bloqueio por uma lista de permissões explícita.