PT-2026-57441 · Unknown · Parse Server
Cyberkareem
+1
·
Publicado
2026-07-11
·
Atualizado
2026-07-11
·
CVE-2026-61448
CVSS v4.0
2.1
Baixa
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Parse Server versões 9.0.0 até 9.10.0-alpha.1
Parse Server versões 8.x e anteriores até 8.6.83
Description
Um problema de cross-site scripting (XSS) armazenado ocorre quando o pacote
mime não reconhece a extensão de um arquivo enviado, fazendo com que o Parse Server preserve o Content-Type fornecido pelo cliente. Um Content-Type malformado que não seja um tipo/subtipo de mídia válido pode ignorar a lista de bloqueio fileUpload.fileExtensions e ser armazenado sem alterações. Em adaptadores de armazenamento que persistem e servem o Content-Type enviado, como Amazon S3, Google Cloud Storage ou Azure Blob Storage, os navegadores podem realizar o MIME-sniffing—um processo no qual o navegador tenta determinar o tipo de arquivo inspecionando seu conteúdo—e renderizar arquivos que começam com HTML como HTML. Isso permite a execução de scripts incorporados na origem da aplicação contra usuários que abrirem a URL do arquivo.Recommendations
Atualize para a versão 9.10.0-alpha.2 ou posterior.
Atualize para a versão 8.6.84 ou posterior.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parse Server