PT-2026-57441 · Unknown · Parse Server

Cyberkareem

+1

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2026-61448

CVSS v4.0

2.1

Baixa

VetorAV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:L/VA:N/SC:L/SI:L/SA:N
Nome do Software Vulnerável e Versões Afetadas Parse Server versões 9.0.0 até 9.10.0-alpha.1 Parse Server versões 8.x e anteriores até 8.6.83
Description Um problema de cross-site scripting (XSS) armazenado ocorre quando o pacote mime não reconhece a extensão de um arquivo enviado, fazendo com que o Parse Server preserve o Content-Type fornecido pelo cliente. Um Content-Type malformado que não seja um tipo/subtipo de mídia válido pode ignorar a lista de bloqueio fileUpload.fileExtensions e ser armazenado sem alterações. Em adaptadores de armazenamento que persistem e servem o Content-Type enviado, como Amazon S3, Google Cloud Storage ou Azure Blob Storage, os navegadores podem realizar o MIME-sniffing—um processo no qual o navegador tenta determinar o tipo de arquivo inspecionando seu conteúdo—e renderizar arquivos que começam com HTML como HTML. Isso permite a execução de scripts incorporados na origem da aplicação contra usuários que abrirem a URL do arquivo.
Recommendations Atualize para a versão 9.10.0-alpha.2 ou posterior. Atualize para a versão 8.6.84 ou posterior.

Correção

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61448

Produtos afetados

Parse Server