PT-2026-24456 · Unknown · Parse Server
Theinfosecguy
·
Publicado
2026-03-10
·
Atualizado
2026-03-12
·
CVE-2026-30965
CVSS v4.0
9.9
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Parse Server anteriores à 9.5.2-alpha.8
Versões do Parse Server anteriores à 8.6.21
Descrição
O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema em seu tratamento de consultas. Um atacante, autenticado ou não autenticado, pode potencialmente obter tokens de sessão pertencentes a outros usuários manipulando o parâmetro de consulta
redirectClassNameForKey. A exploração bem-sucedida requer a capacidade do atacante de criar ou atualizar um objeto com um novo campo de relação, dependente das Permissões de Nível de Classe de pelo menos uma classe. Tokens de sessão comprometidos podem permitir a tomada de conta.Recomendações
Atualize o Parse Server para a versão 9.5.2-alpha.8 ou posterior.
Atualize o Parse Server para a versão 8.6.21 ou posterior.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server