CVE-2026-30854

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server 9.3.1-alpha.3 a 9.5.0-alpha.10

Descrição O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema em que desativar o graphQLPublicIntrospection não impede totalmente usuários não autenticados de realizar reconhecimento de tipos. Especificamente, consultas type aninhadas em fragmentos embutidos podem contornar os controles de introspecção. A funcionalidade de introspecção schema permanece inalterada. O problema ocorre quando o graphQLPublicIntrospection está desativado e permite que atacantes coletem informações sobre o esquema do servidor. As consultas vulneráveis utilizam a função type dentro de fragmentos embutidos, como ... on Query { type(name:"User") { name } }.

Recomendações Atualize para a versão 9.5.0-alpha.10 do Parse Server ou superior.