parse-server: validação de extensão de upload de arquivo corrigida
A validação de extensão de upload de arquivo do Parse Server agora também avalia o tipo de conteúdo da requisição contra a blocklist configurada quando a extens
O que mudou
A validação de extensão de upload de arquivo do Parse Server agora também avalia o tipo de conteúdo da requisição contra a blocklist configurada quando a extensão do nome do arquivo não é um tipo reconhecido, impedindo bypass da blocklist via extensões não padrão.
Quem isso afeta
Todas as instâncias do Parse Server que usam a blocklist de upload de arquivo padrão, especialmente aquelas com adaptadores de armazenamento que persistem e servem o tipo de conteúdo enviado (ex.: S3, GCS).
O que fazer hoje
Atualize o Parse Server para a versão corrigida mais recente. Como alternativa, configure fileUpload.fileExtensions como uma allowlist estrita e sirva arquivos enviados de um domínio separado.