CVE-2026-47248
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.
Ocena ryzyka
Nieautoryzowani użytkownicy mogą wykorzystać tę podatność do uzyskania informacji o strukturze aplikacji, co zwiększa ryzyko ataków na system.
Rekomendacja
Zaleca się aktualizację Parse Server do wersji 8.6.78 lub 9.9.1-alpha.2, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.78 and 9.9.1-alpha.2, Parse Server's GraphQL endpoint discloses schema metadata to unauthenticated callers through Did you mean ...? suggestions embedded in GraphQL validation-error messages. An unauthenticated caller who knows only the public application id can iteratively send malformed queries to reconstruct class names, field names, argument names, mutation names, and input-object fields. This issue has been patched in versions 8.6.78 and 9.9.1-alpha.2.

