CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30966

Critical
Published: Translated: NVD NIST

Summary

Parse Server, otwarte oprogramowanie backendowe, przed wersjami 9.5.2-alpha.7 i 8.6.20, pozwalało na bezpośredni dostęp do wewnętrznych tabel przez REST API lub GraphQL API przy użyciu jedynie klucza aplikacji. Atakujący mógł tworzyć, odczytywać, aktualizować lub usuwać rekordy w wewnętrznych tabelach relacji.

Risk Assessment

Wykorzystanie tej podatności umożliwia atakującemu wstrzyknięcie się do dowolnej roli w Parse, co skutkuje uzyskaniem pełnych uprawnień, w tym dostępu do odczytu, zapisu i usuwania klas chronionych przez uprawnienia oparte na rolach. To stwarza poważne zagrożenie dla bezpieczeństwa danych w organizacji.

Recommendation

Zaleca się aktualizację Parse Server do wersji 9.5.2-alpha.7 lub 8.6.20, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień i zabezpieczeń w aplikacji.

Original NVD description (English source)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.5.2-alpha.7 and 8.6.20, Parse Server's internal tables, which store Relation field mappings such as role memberships, can be directly accessed via the REST API or GraphQL API by any client using only the application key. No master key is required. An attacker can create, read, update, or delete records in any internal relationship table. Exploiting this allows the attacker to inject themselves into any Parse Role, gaining all permissions associated with that role, including full read, write, and delete access to classes protected by role-based Class-Level Permissions (CLP). Similarly, writing to any such table that backs a Relation field used in a pointerFields CLP bypasses that access control. This vulnerability is fixed in 9.5.2-alpha.7 and 8.6.20.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS