CVE-2026-30835

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores à 8.6.7 Versões do Parse Server anteriores à 9.5.0-alpha.6

Descrição O Parse Server é um backend de código aberto implantável em infraestruturas Node.js. Um parâmetro de consulta $regex malformado, como [abc), pode fazer com que o banco de dados retorne um objeto de erro estruturado não sanitizado na resposta da API. Isso expõe detalhes internos do banco de dados, incluindo mensagens de erro, códigos de erro, nomes de códigos, timestamps de cluster e detalhes de topologia. O problema pode ser explorado por qualquer cliente capaz de enviar solicitações de consulta, dependendo das configurações de permissão da implantação. O parâmetro vulnerável é $regex. O endpoint da API que recebe o parâmetro vulnerável não está especificado.

Recomendações Atualize para a versão 8.6.7 do Parse Server ou posterior. Atualize para a versão 9.5.0-alpha.6 do Parse Server ou posterior.