CVE-2026-30863
KrytyczneStreszczenie
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.
Ocena ryzyka
Brak walidacji roszczenia 'audience' stwarza ryzyko, że atakujący może uzyskać dostęp do kont użytkowników, co może prowadzić do nieautoryzowanego dostępu do danych i zasobów organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 8.6.10 lub 9.5.0-alpha.11, aby załatać tę podatność oraz skonfigurowanie opcji 'audience' dla adapterów uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.10 and 9.5.0-alpha.11, the Google, Apple, and Facebook authentication adapters use JWT verification to validate identity tokens. When the adapter's audience configuration option is not set (clientId for Google/Apple, appIds for Facebook), JWT verification silently skips audience claim validation. This allows an attacker to use a validly signed JWT issued for a different application to authenticate as any user on the target Parse Server. This issue has been patched in versions 8.6.10 and 9.5.0-alpha.11.

