PT-2026-24460 · Unknown · Parse Server
Theinfosecguy
·
Publicado
2026-03-10
·
Atualizado
2026-03-17
·
CVE-2026-31800
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Parse Server anteriores a 9.5.2-alpha.12
Versões do Parse Server anteriores a 8.6.25
Descrição
O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém um problema onde as classes internas
GraphQLConfig e Audience estão acessíveis, modificáveis e exclusíveis através das rotas da API REST /classes/ GraphQLConfig e /classes/ Audience sem exigir autenticação por chave mestra. Isso contorna a exigência da chave mestra presente nos endpoints de API dedicados /graphql-config e /push audiences. Um atacante poderia potencialmente ler, modificar e excluir a configuração do GraphQL e os dados de audiência de push. Os endpoints de API afetados são /classes/ GraphQLConfig e /classes/ Audience.Recomendações
Atualize para a versão 9.5.2-alpha.12 ou posterior do Parse Server.
Atualize para a versão 8.6.25 ou posterior do Parse Server.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server