Katalog CVE

CVE-2026-27609

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.14%

Percentyl 4 - wyżej niż 4% wszystkich znanych CVE

Streszczenie

Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.

Ocena ryzyka

Ryzyko polega na możliwości wykonania nieautoryzowanych działań przez atakującego w kontekście sesji administratora, co może prowadzić do naruszenia integralności danych lub konfiguracji aplikacji Parse Server.

Rekomendacja

Zaleca się natychmiastową aktualizację do wersji 9.0.0-alpha.8 lub nowszej. Jako tymczasowe obejście, usuń blok konfiguracyjny `agent` z konfiguracji dashboardu, jeśli nie jest wymagany.

Oryginalny opis (angielski, źródło NVD)

Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the AI Agent API endpoint (`POST /apps/:appId/agent`) lacks CSRF protection. An attacker can craft a malicious page that, when visited by an authenticated dashboard user, submits requests to the agent endpoint using the victim's session. The fix in version 9.0.0-alpha.8 adds CSRF middleware to the agent endpoint and embeds a CSRF token in the dashboard page. As a workaround, remove the `agent` configuration block from your dashboard configuration. Dashboards without an `agent` config are not affected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS