PT-2026-23872 · Unknown · Parse Server
Fancymalware
·
Publicado
2026-03-07
·
Atualizado
2026-03-11
·
CVE-2026-30848
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Parse Server versões anteriores à 8.6.8
Parse Server versões anteriores à 9.5.0-alpha.8
Descrição
O Parse Server, um backend de código aberto que pode ser implantado em infraestruturas Node.js, contém uma vulnerabilidade de travessia de caminho na rota de fornecimento de arquivos estáticos do PagesRouter. Isso permite acesso não autenticado a arquivos fora do diretório
pagesPath designado. O problema decorre de uma comparação de prefixo de string que não impõe a utilização de separadores de diretório, permitindo que atacantes acessem arquivos em diretórios irmãos cujos nomes compartilham um prefixo com o diretório de páginas. A rota vulnerável é suscetível a sequências de travessia de caminho.Recomendações
Atualize para a versão 8.6.8 ou posterior do Parse Server.
Atualize para a versão 9.5.0-alpha.8 ou posterior do Parse Server.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server