CVE-2026-30938

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 8.6.12 Versões do Parse Server anteriores a 9.5.1-alpha.1

Descrição Uma falha lógica no controle de segurança requestKeywordDenylist permite contornar restrições ao colocar objetos ou arrays aninhados antes de palavras-chave proibidas no payload da requisição. O problema origina-se de um bug que interrompe a varredura de chaves irmãs após encontrar o primeiro valor aninhado, impactando tanto entradas padrão quanto personalizadas do requestKeywordDenylist. Isso afeta todas as implantações do Parse Server onde o requestKeywordDenylist está habilitado. A correção envolve substituir o verificador recursivo de objetos por uma varredura iterativa baseada em pilha para processar todos os valores aninhados sem sair prematuramente do loop de varredura.

Recomendações Versões anteriores a 8.6.12: Atualize para a versão 8.6.12 ou posterior. Versões anteriores a 9.5.1-alpha.1: Atualize para a versão 9.5.1-alpha.1 ou posterior. Utilize um trigger beforeSave do Cloud Code para validar dados recebidos quanto a palavras-chave proibidas em todas as classes.