CVE-2026-31871
CriticalSummary
W Parse Server, przed wersjami 9.6.0-alpha.5 i 8.6.31, występuje podatność na wstrzykiwanie SQL w adapterze pamięci masowej PostgreSQL podczas przetwarzania operacji Increment na zagnieżdżonych polach obiektów przy użyciu notacji kropkowej. Nazwa podklucza jest interpolowana bezpośrednio do literałów ciągów SQL bez odpowiedniego zabezpieczenia.
Risk Assessment
Atakujący, który ma możliwość wysyłania żądań zapisu do REST API Parse Server, może wstrzykiwać dowolne zapytania SQL, co może prowadzić do wykonania nieautoryzowanych poleceń lub odczytu danych z bazy danych, omijając CLP i ACL. Tylko wdrożenia PostgreSQL są narażone na to zagrożenie.
Recommendation
Zaleca się aktualizację do wersji 9.6.0-alpha.5 lub 8.6.31, aby usunąć tę podatność. Należy również przeanalizować i zabezpieczyć istniejące aplikacje przed potencjalnymi atakami SQL injection.
Original NVD description (English source)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.5 and 8.6.31, a SQL injection vulnerability exists in the PostgreSQL storage adapter when processing Increment operations on nested object fields using dot notation (e.g., stats.counter). The sub-key name is interpolated directly into SQL string literals without escaping. An attacker who can send write requests to the Parse Server REST API can inject arbitrary SQL via a crafted sub-key name containing single quotes, potentially executing commands or reading data from the database, bypassing CLPs and ACLs. Only Postgres deployments are affected. This vulnerability is fixed in 9.6.0-alpha.5 and 8.6.31.

