js · parse-serverAtenção
parse-server: bypass de routeAllowList em sub-requisições batch
A opção de servidor `routeAllowList` era ignorada para sub-requisições batch, permitindo que chamadores externos acessassem rotas da API REST não listadas via requisições batch.
O que mudou
A opção de servidor `routeAllowList` era ignorada para sub-requisições batch, permitindo que chamadores externos acessassem rotas da API REST não listadas via requisições batch. A correção reforça a verificação da allow-list para cada sub-requisição batch.
Quem isso afeta
Operadores que usam Parse Server v9.8.0 ou superior, que configuraram `routeAllowList` e incluíram a rota `batch` na allow-list.
O que fazer hoje
Atualize para a versão corrigida ou aplique a solução alternativa incluindo explicitamente todas as rotas internas desejadas na allow-list.
A esteira
Coletado→
Auditado→
Redigido→
Publicado