Katalog CVE

CVE-2026-47248

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.51%

Percentyl 39 — wyżej niż 39% wszystkich znanych CVE

Streszczenie

Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.

Ocena ryzyka

Nieautoryzowani użytkownicy mogą wykorzystać tę podatność do uzyskania informacji o strukturze aplikacji, co zwiększa ryzyko ataków na system.

Rekomendacja

Zaleca się aktualizację Parse Server do wersji 8.6.78 lub 9.9.1-alpha.2, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.78 and 9.9.1-alpha.2, Parse Server's GraphQL endpoint discloses schema metadata to unauthenticated callers through Did you mean ...? suggestions embedded in GraphQL validation-error messages. An unauthenticated caller who knows only the public application id can iteratively send malformed queries to reconstruct class names, field names, argument names, mutation names, and input-object fields. This issue has been patched in versions 8.6.78 and 9.9.1-alpha.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS