CVE-2026-55778

Nome do Software Vulnerável e Versões Afetadas Parse Server (versões afetadas não especificadas)

Descrição A lista de bloqueio padrão fileUpload.fileExtensions pode ser burlada ao fazer o upload de arquivos com extensões não padronizadas ou compostas combinadas com um tipo de conteúdo perigoso. Isso permite o upload de arquivos que os navegadores renderizam como conteúdo ativo, como HTML e SVG, levando ao cross-site scripting (XSS) armazenado, onde um invasor injeta scripts maliciosos em uma página da web visualizada por outros usuários. Este problema é particularmente impactante em adaptadores de armazenamento como S3 e GCS, que persistem e servem o tipo de conteúdo fornecido pelo invasor. Embora o adaptador GridFS/filesystem utilize o cabeçalho X-Content-Type-Options: nosniff para mitigar a renderização do navegador, a restrição de upload ainda é burlada.

Recomendações Configure fileUpload.fileExtensions como uma lista de permissões estrita contendo apenas as extensões de arquivo necessárias (ex: ["^(png|jpe?g|gif|pdf)$"]) em vez de usar a lista de bloqueio padrão. Sirva os arquivos carregados de um domínio separado do da aplicação para isolar o conteúdo executado da origem da aplicação.