Unknown · Parse Server · CVE-2026-61448
**Nome do Software Vulnerável e Versões Afetadas**
Parse Server versões 9.0.0 até 9.10.0-alpha.1
Parse Server versões 8.x até 8.6.83
**Description**
Um problema de cross-site scripting (XSS) armazenado ocorre quando o software não reconhece a extensão de um arquivo enviado através do pacote mime, fazendo com que ele preserve o Content-Type fornecido pelo cliente. Um Content-Type malformado que não segue o formato válido de tipo/subtipo de mídia (por exemplo, 'image', 'image/' ou 'image//svg+xml') pode ignorar a lista de bloqueio `fileUpload.fileExtensions` e ser armazenado sem alterações. Em adaptadores de armazenamento que persistem e servem o Content-Type enviado, como Amazon S3, Google Cloud Storage ou Azure Blob Storage, os navegadores podem não conseguir analisar o valor malformado e realizar o MIME-sniffing. Isso permite que um arquivo cujo corpo comece com HTML seja renderizado como HTML, executando scripts incorporados na origem da aplicação contra outros usuários que abrirem a URL do arquivo. O adaptador de armazenamento padrão GridFS não é afetado.
**Recommendations**
Atualize para a versão 9.10.0-alpha.2 ou posterior.
Atualize para a versão 8.6.84 ou posterior.