CVE-2026-30941

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores à 8.6.14 Versões do Parse Server anteriores à 9.5.2-alpha.1

Descrição O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém uma vulnerabilidade de injeção NoSQL. Um atacante não autenticado pode injetar operadores de consulta do MongoDB através do campo token nos endpoints de redefinição de senha e reenvio de verificação de e-mail. O valor do token é passado para consultas ao banco de dados sem validação de tipo, permitindo potencialmente a extração de tokens de redefinição de senha e verificação de e-mail. Implantações que utilizam MongoDB com verificação de e-mail ou redefinição de senha habilitadas são afetadas. Quando emailVerifyTokenReuseIfValid está configurado, o token de verificação de e-mail pode ser totalmente extraído e usado para verificar o endereço de e-mail de um usuário sem acesso à caixa de entrada. Os endpoints de API afetados são os endpoints de redefinição de senha e reenvio de verificação de e-mail.

Recomendações Versões anteriores à 8.6.14 devem ser atualizadas para a versão 8.6.14 ou posterior. Versões anteriores à 9.5.2-alpha.1 devem ser atualizadas para a versão 9.5.2-alpha.1 ou posterior.