Katalog CVE

CVE-2026-50008

ŚrednieCVSS 6.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 - wyżej niż 26% wszystkich znanych CVE

Streszczenie

Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.3 ma lukę, która pozwala na obejście listy dozwolonych tras API. Zewnętrzni klienci mogą wysyłać sub-zapytania do tras, które nie zostały uwzględnione w tej liście, co stwarza ryzyko nieautoryzowanego dostępu.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych tras API, co może prowadzić do wycieku danych lub innych poważnych incydentów bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Parse Server do wersji 9.9.1-alpha.3 lub nowszej, aby załatać tę lukę oraz przegląd konfiguracji listy dozwolonych tras.

Oryginalny opis (angielski, źródło NVD)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. From version 9.8.0 to before version 9.9.1-alpha.3, the routeAllowList server option restricts external client access to a configured list of REST API routes. The check is only enforced as Express middleware against the outer HTTP request URL, so the /batch handler dispatches each sub-request to the internal router without re-running the allow-list check. An external caller whose outer route matches batch can issue batch sub-requests to any REST API route that the operator omitted from the allow-list. Authentication, ACL, CLP, and other inner-route authorization controls still apply — only the operator-configured route firewall is bypassed. This issue has been patched in version 9.9.1-alpha.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS