CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30863

Critical
Published: Translated: NVD NIST

Summary

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.

Risk Assessment

Brak walidacji roszczenia 'audience' stwarza ryzyko, że atakujący może uzyskać dostęp do kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów organizacji.

Recommendation

Zaleca się aktualizację do wersji 8.6.10 lub 9.5.0-alpha.11, aby załatać tę podatność oraz skonfigurowanie opcji 'audience' dla adapterów uwierzytelniania.

Original NVD description (English source)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.10 and 9.5.0-alpha.11, the Google, Apple, and Facebook authentication adapters use JWT verification to validate identity tokens. When the adapter's audience configuration option is not set (clientId for Google/Apple, appIds for Facebook), JWT verification silently skips audience claim validation. This allows an attacker to use a validly signed JWT issued for a different application to authenticate as any user on the target Parse Server. This issue has been patched in versions 8.6.10 and 9.5.0-alpha.11.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS