CVE-2026-30925

Nome do Software Vulnerável e Versões Afetadas Parse Server versões anteriores a 9.5.0-alpha.14 Parse Server versões anteriores a 8.6.11

Descrição Um padrão $regex elaborado dentro de uma assinatura LiveQuery pode causar backtracking catastrófico, bloqueando o loop de eventos do Node.js e tornando todo o Parse Server inoperável. Um invasor precisa apenas do ID do aplicativo e da chave JavaScript, geralmente públicos em aplicações cliente, para explorar essa vulnerabilidade. Isso afeta implantações do Parse Server com LiveQuery habilitado, especificamente a correspondência de assinaturas LiveQuery, que avalia regex em JavaScript no loop de eventos do Node.js. Consultas REST e GraphQL normais não são afetadas, já que sua avaliação de regex ocorre dentro do mecanismo do banco de dados.

Recomendações Atualize para o Parse Server versão 9.5.0-alpha.14 ou posterior. Atualize para o Parse Server versão 8.6.11 ou posterior.