CVE-2026-29182

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 8.6.4 Versões do Parse Server anteriores a 9.4.1-alpha.3

Descrição Implantações do Parse Server que utilizam a opção readOnlyMasterKey estão suscetíveis a modificações não autorizadas. A readOnlyMasterKey destina-se a conceder acesso somente leitura, mas certos endpoints incorretamente permitem operações de mutação ao usar esta chave. Isso permite que um atacante que possui a readOnlyMasterKey crie, modifique e exclua Cloud Hooks e inicie Cloud Jobs, potencialmente levando à exfiltração de dados. Os endpoints vulneráveis processam incorretamente a readOnlyMasterKey para operações que deveriam ser restritas. A variável readOnlyMasterKey é usada indevidamente nas verificações de autorização.

Recomendações Versões do Parse Server anteriores a 8.6.4 devem ser atualizadas para a versão 8.6.4 ou posterior. Versões do Parse Server anteriores a 9.4.1-alpha.3 devem ser atualizadas para a versão 9.4.1-alpha.3 ou posterior. Se a atualização não for possível imediatamente, certifique-se de que o valor da readOnlyMasterKey não seja compartilhado com partes não confiáveis.