Katalog CVE

CVE-2026-27610

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 powoduje, że pamięć podręczna `ConfigKeyCache` używa tego samego klucza dla klucza głównego i klucza głównego tylko do odczytu podczas rozwiązywania kluczy typu funkcyjnego. W określonych warunkach czasowych użytkownik z ograniczonymi uprawnieniami może otrzymać z pamięci podręcznej pełny klucz główny, a zwykły użytkownik może otrzymać klucz główny tylko do odczytu.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do pełnego klucza głównego przez użytkownika z uprawnieniami tylko do odczytu, co może prowadzić do eskalacji uprawnień i niekontrolowanego dostępu do danych.

Rekomendacja

Zaleca się natychmiastową aktualizację do wersji 9.0.0-alpha.8 lub nowszej. Jako tymczasowe obejście, należy unikać używania kluczy głównych typu funkcyjnego lub usunąć blok konfiguracyjny `agent` z konfiguracji dashboardu.

Oryginalny opis (angielski, źródło NVD)

Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the `ConfigKeyCache` uses the same cache key for both master key and read-only master key when resolving function-typed keys. Under specific timing conditions, a read-only user can receive the cached full master key, or a regular user can receive the cached read-only master key. The fix in version 9.0.0-alpha.8 uses distinct cache keys for master key and read-only master key. As a workaround, avoid using function-typed master keys, or remove the `agent` configuration block from your dashboard configuration.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS