CVE-2026-31828

Nome do Software Vulnerável e Versões Afetadas Versões do Parse Server anteriores a 9.5.2-alpha.13 Versões do Parse Server anteriores a 8.6.26

Descrição O Parse Server, um backend de código aberto implantável em infraestruturas Node.js, contém uma falha em seu adaptador de autenticação LDAP. O problema decorre da interpolação direta da entrada fornecida pelo usuário (authData.id) em Nomes Distinguidos LDAP (DN) e filtros de busca de grupos, sem escapar adequadamente os caracteres especiais. Isso permite que um atacante com credenciais LDAP válidas manipule a estrutura do DN de bind e contorne as verificações de associação a grupos, potencialmente levando a uma elevação de privilégios de qualquer usuário LDAP autenticado para membro de qualquer grupo restrito. A vulnerabilidade afeta implantações do Parse Server que utilizam o adaptador de autenticação LDAP com controle de acesso baseado em grupos.

Recomendações Atualize para a versão 9.5.2-alpha.13 do Parse Server ou posterior. Atualize para a versão 8.6.26 do Parse Server ou posterior.