CVE-2026-30229

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 8.6.6 Versões do Parse Server anteriores a 9.5.0-alpha.4

Descrição O Parse Server é um backend open-source que pode ser implantado em infraestruturas Node.js. Uma chave mestra somente leitura pode ser usada para chamar o endpoint da API POST /loginAs, permitindo a criação de um token de sessão válido para qualquer usuário. Isso permite que uma credencial somente leitura se passe por qualquer usuário, obtendo acesso total de leitura e escrita aos seus dados. Qualquer implantação do Parse Server que utilize o readOnlyMasterKey pode ser afetada. A correção envolve adicionar uma verificação ao handler /logInAs.

Recomendações As versões anteriores a 8.6.6 devem ser atualizadas para a versão 8.6.6 ou superior. As versões anteriores a 9.5.0-alpha.4 devem ser atualizadas para a versão 9.5.0-alpha.4 ou superior. Como alternativa, evite utilizar o readOnlyMasterKey.