CVE-2026-30939

Nome do Software Vulnerável e Versões Afetadas Parse Server versões anteriores a 8.6.13 Parse Server versões anteriores a 9.5.1-alpha.2

Descrição Um atacante não autenticado pode causar uma negação de serviço ao travar o processo do Parse Server. Isso ocorre ao chamar um endpoint de Cloud Function com um nome de propriedade do protótipo como nome da função, levando a uma recursão infinita e um erro de tamanho da pilha de chamadas. Além disso, os nomes de propriedades do protótipo ignoram a validação de despacho da Cloud Function, resultando em respostas HTTP 200 mesmo quando não há Cloud Functions correspondentes definidas. Isso também se aplica à navegação com notação de ponto. A vulnerabilidade afeta todas as implantações do Parse Server que expõem o endpoint da Cloud Function. O problema envolve os registros internos de manipuladores para Cloud Functions, Jobs, Triggers e Validators, que anteriormente permitiam a resolução de propriedades da cadeia de protótipos.

Recomendações Versões anteriores a 8.6.13 devem ser atualizadas para a versão 8.6.13. Versões anteriores a 9.5.1-alpha.2 devem ser atualizadas para a versão 9.5.1-alpha.2. Como solução temporária, considere posicionar um proxy reverso ou um Firewall de Aplicação Web (WAF) na frente do Parse Server e bloquear solicitações com nomes de propriedades do Object.prototype.