CVE-2026-43930

Nome do Software Vulnerável e Versões Afetadas Parse Server versões anteriores a 8.6.76 Parse Server versões anteriores a 9.9.0-alpha.2

Description Existe uma condição de corrida (race condition) no caminho de login de senha de uso único (OTP) de MFA via SMS. Isso permite que duas solicitações simultâneas ao endpoint '/login' usando o mesmo OTP tenham sucesso e recebam tokens de sessão válidos, violando a propriedade de uso único do OTP. Para que isso seja explorado, um invasor deve possuir a senha da vítima e interceptar o OTP de SMS ativo por meio de métodos como SIM swap, espelhamento de rede ou phishing relay, e então executar a solicitação simultaneamente ao usuário legítimo.

Recommendations Atualizar para a versão 8.6.76. Atualizar para a versão 9.9.0-alpha.2. Desativar o MFA via SMS e utilizar TOTP em seu lugar. Implementar um limitador de taxa (rate limiter) no endpoint '/login' para reduzir a capacidade de rajadas de solicitações simultâneas.