CVE-2026-30228

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 8.6.5 Versões do Parse Server anteriores a 9.5.0-alpha.3

Descrição A readOnlyMasterKey pode ser usada incorretamente para criar e excluir arquivos por meio da Files API. Especificamente, os endpoints da API /files/:filename (métodos POST e DELETE) são afetados. Isso contorna a restrição de somente leitura pretendida associada à readOnlyMasterKey, permitindo manipulação não autorizada de arquivos. Um invasor que possua a readOnlyMasterKey pode fazer o upload de arquivos arbitrários ou excluir os existentes. Qualquer implantação do Parse Server que utilize a readOnlyMasterKey e exponha a Files API está suscetível a esse problema.

Recomendações Versões anteriores a 8.6.5 devem ser atualizadas para a versão 8.6.5 ou posterior. Versões anteriores a 9.5.0-alpha.3 devem ser atualizadas para a versão 9.5.0-alpha.3 ou posterior. Como alternativa, restrinja o acesso de rede aos endpoints da API /files/:filename. Alternativamente, evite usar a readOnlyMasterKey.