CVE-2026-30863
CriticalSummary
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.
Risk Assessment
Brak walidacji roszczenia 'audience' stwarza ryzyko, że atakujący może uzyskać dostęp do kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów organizacji.
Recommendation
Zaleca się aktualizację do wersji 8.6.10 lub 9.5.0-alpha.11, aby załatać tę podatność oraz skonfigurowanie opcji 'audience' dla adapterów uwierzytelniania.
Original NVD description (English source)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.10 and 9.5.0-alpha.11, the Google, Apple, and Facebook authentication adapters use JWT verification to validate identity tokens. When the adapter's audience configuration option is not set (clientId for Google/Apple, appIds for Facebook), JWT verification silently skips audience claim validation. This allows an attacker to use a validly signed JWT issued for a different application to authenticate as any user on the target Parse Server. This issue has been patched in versions 8.6.10 and 9.5.0-alpha.11.

