PT-2026-42860 · Unknown · Parse Server
Publicado
2026-05-23
·
Atualizado
2026-06-16
·
CVE-2026-47138
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Parse Server (versões afetadas não especificadas)
Descrição
Um invasor não autenticado com conhecimento de um ID de Aplicativo Parse público pode causar a negação de serviço ao enviar uma única requisição HTTP para qualquer endpoint '/parse/*'. O ataque envolve o fornecimento de entrada adversária no campo de versão do SDK do cliente, o que desencadeia o backtracking polinomial — uma condição em que um mecanismo de expressão regular leva um tempo exponencial para processar uma string — dentro de um analisador de cabeçalho de requisição. Como essa análise ocorre antes da autenticação da sessão e da limitação de taxa, ela consome recursos significativos de CPU síncrona em um worker do Node.js. Algumas requisições simultâneas ou uma única requisição grande via campo de corpo podem saturar ou travar um worker por vários minutos.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Implante um proxy reverso ou WAF para remover ou limitar estritamente o tamanho do cabeçalho
X-Parse-Client-Version e do campo ClientVersion em corpos de requisição JSON em todas as rotas '/parse/*'.
Evite usar o cabeçalho X-Parse-Client-Version e o campo ClientVersion em corpos de requisição JSON.Exploit
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server