PT-2026-42860 · Unknown · Parse Server

Publicado

2026-05-23

·

Atualizado

2026-06-16

·

CVE-2026-47138

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Parse Server (versões afetadas não especificadas)
Descrição Um invasor não autenticado com conhecimento de um ID de Aplicativo Parse público pode causar a negação de serviço ao enviar uma única requisição HTTP para qualquer endpoint '/parse/*'. O ataque envolve o fornecimento de entrada adversária no campo de versão do SDK do cliente, o que desencadeia o backtracking polinomial — uma condição em que um mecanismo de expressão regular leva um tempo exponencial para processar uma string — dentro de um analisador de cabeçalho de requisição. Como essa análise ocorre antes da autenticação da sessão e da limitação de taxa, ela consome recursos significativos de CPU síncrona em um worker do Node.js. Algumas requisições simultâneas ou uma única requisição grande via campo de corpo podem saturar ou travar um worker por vários minutos.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Implante um proxy reverso ou WAF para remover ou limitar estritamente o tamanho do cabeçalho X-Parse-Client-Version e do campo ClientVersion em corpos de requisição JSON em todas as rotas '/parse/*'. Evite usar o cabeçalho X-Parse-Client-Version e o campo ClientVersion em corpos de requisição JSON.

Exploit

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BIT-PARSE-2026-47138
CVE-2026-47138
GHSA-38M6-82C8-4XFM

Produtos afetados

Parse Server