CVE-2026-27804

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 8.6.3 Versões do Parse Server anteriores a 9.1.1-alpha.4

Descrição O Parse Server está suscetível a uma vulnerabilidade de segurança na qual um atacante não autenticado pode criar um token de autenticação do Google forjado utilizando alg: "none" para obter acesso como qualquer usuário associado a uma conta do Google, sem precisar de suas credenciais. Todas as implantações que utilizam autenticação do Google estão potencialmente afetadas. O problema decorre da confiança no cabeçalho JWT e do uso de um buscador de chaves personalizado que aceitava IDs de chave desconhecidos.

Recomendações Versões anteriores a 8.6.3 devem ser atualizadas para a versão 8.6.3 ou posterior. Versões anteriores a 9.1.1-alpha.4 devem ser atualizadas para a versão 9.1.1-alpha.4 ou posterior. Como solução temporária, desative a autenticação do Google até que uma atualização seja possível.