CVE-2026-47138
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 - wyżej niż 46% wszystkich znanych CVE
Streszczenie
Parse Server przed wersjami 8.6.77 i 9.9.1-alpha.1 jest podatny na atak, w którym nieautoryzowany użytkownik może wysłać złośliwe żądanie HTTP, co prowadzi do nadmiernego zużycia CPU na serwerze.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do zablokowania zasobów serwera, co prowadzi do degradacji usług i potencjalnych przestojów w produkcji.
Rekomendacja
Zaleca się aktualizację do wersji 8.6.77 lub 9.9.1-alpha.1, aby usunąć tę podatność oraz monitorowanie ruchu sieciowego w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.77 and 9.9.1-alpha.1, an unauthenticated attacker who knows a publicly-known Parse Application ID can submit a single HTTP request whose client SDK version field contains adversarial input that triggers polynomial backtracking in a request-header parser. The parsing runs before session authentication and before rate limiting on every /parse/* request, so the request consumes seconds to minutes of synchronous CPU on a Node.js worker before any access control evaluates it. A small number of concurrent requests can saturate a worker; a single large request via the body-field variant can pin a worker for minutes. Production deployments running the default configuration are affected. This issue has been patched in versions 8.6.77 and 9.9.1-alpha.1.

