CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-31871

Critical
Published: Translated: NVD NIST

Summary

W Parse Server, przed wersjami 9.6.0-alpha.5 i 8.6.31, występuje podatność na wstrzykiwanie SQL w adapterze pamięci masowej PostgreSQL podczas przetwarzania operacji Increment na zagnieżdżonych polach obiektów przy użyciu notacji kropkowej. Nazwa podklucza jest interpolowana bezpośrednio do literałów ciągów SQL bez odpowiedniego zabezpieczenia.

Risk Assessment

Atakujący, który ma możliwość wysyłania żądań zapisu do REST API Parse Server, może wstrzykiwać dowolne zapytania SQL, co może prowadzić do wykonania nieautoryzowanych poleceń lub odczytu danych z bazy danych, omijając CLP i ACL. Tylko wdrożenia PostgreSQL są narażone na to zagrożenie.

Recommendation

Zaleca się aktualizację do wersji 9.6.0-alpha.5 lub 8.6.31, aby usunąć tę podatność. Należy również przeanalizować i zabezpieczyć istniejące aplikacje przed potencjalnymi atakami SQL injection.

Original NVD description (English source)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.5 and 8.6.31, a SQL injection vulnerability exists in the PostgreSQL storage adapter when processing Increment operations on nested object fields using dot notation (e.g., stats.counter). The sub-key name is interpolated directly into SQL string literals without escaping. An attacker who can send write requests to the Parse Server REST API can inject arbitrary SQL via a crafted sub-key name containing single quotes, potentially executing commands or reading data from the database, bypassing CLPs and ACLs. Only Postgres deployments are affected. This vulnerability is fixed in 9.6.0-alpha.5 and 8.6.31.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS