Katalog CVE

CVE-2026-31800

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.5.2-alpha.12 i 8.6.25, wewnętrzne klasy _GraphQLConfig i _Audience mogą być odczytywane, modyfikowane i usuwane za pomocą ogólnych tras API REST bez uwierzytelnienia klucza głównego.

Ocena ryzyka

Atakujący może uzyskać dostęp do konfiguracji GraphQL oraz danych o publiczności, co może prowadzić do nieautoryzowanych zmian i wycieków danych. To stwarza poważne zagrożenie dla integralności i poufności danych w systemie.

Rekomendacja

Zaleca się aktualizację do wersji 9.5.2-alpha.12 lub 8.6.25, aby zabezpieczyć się przed tą podatnością. Dodatkowo, warto wprowadzić dodatkowe kontrole dostępu do API, aby ograniczyć ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.5.2-alpha.12 and 8.6.25, the _GraphQLConfig and _Audience internal classes can be read, modified, and deleted via the generic /classes/_GraphQLConfig and /classes/_Audience REST API routes without master key authentication. This bypasses the master key enforcement that exists on the dedicated /graphql-config and /push_audiences endpoints. An attacker can read, modify and delete GraphQL configuration and push audience data. This vulnerability is fixed in 9.5.2-alpha.12 and 8.6.25.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS