CVE-2026-30967

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 9.5.2-alpha.9 Versões do Parse Server anteriores a 8.6.22

Descrição O Parse Server, um backend de código aberto que pode ser implantado em infraestruturas Node.js, contém uma falha em seu adaptador de autenticação OAuth2. Quando configurado sem a opção useridField, o adaptador verifica a atividade do token por meio do endpoint de introspecção de token do provedor, mas não confirma a associação do token com o usuário identificado por authData.id. Isso permite que um atacante que possua qualquer token OAuth2 válido do mesmo provedor se autentique como qualquer outro usuário. O problema afeta implantações do Parse Server que utilizam o adaptador genérico de autenticação OAuth2 (configurado com oauth2: true) sem definir a opção useridField.

Recomendações Atualize para a versão 9.5.2-alpha.9 do Parse Server ou posterior. Atualize para a versão 8.6.22 do Parse Server ou posterior.