Katalog CVE

CVE-2026-53725

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 - wyżej niż 16% wszystkich znanych CVE

Streszczenie

Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.5 ma lukę, która pozwala na ujawnienie wrażliwych danych użytkowników przez punkty końcowe /login i /verifyPassword, gdy włączono MFA i zablokowano dostęp do klasy _User. W przypadku odmowy dostępu do danych użytkownika, serwer zwraca surowe dane z bazy, co może prowadzić do ujawnienia tajnych informacji, takich jak sekrety MFA i kody odzyskiwania.

Ocena ryzyka

Organizacje mogą być narażone na kradzież wrażliwych danych użytkowników, co może prowadzić do nieautoryzowanego dostępu do kont oraz utraty zaufania klientów. Atakujący mogą łatwo obejść mechanizmy MFA, co zwiększa ryzyko naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Parse Server do wersji 9.9.1-alpha.5 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto przeanalizować i wzmocnić polityki bezpieczeństwa dotyczące dostępu do danych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. From version 9.8.0 to before version 9.9.1-alpha.5, apps that enable MFA and deny get on the _User class via Class-Level Permissions could expose sensitive user data through the /login and /verifyPassword endpoints. These endpoints re-fetch the user through the access-controlled query pipeline (CLP, protectedFields, auth-adapter sanitizers) before responding. When that re-fetch was denied by the _User get permission, the server fell back to the raw database row, exposing raw authData (including MFA TOTP secrets and recovery codes) and fields hidden by protectedFields (when protectedFieldsOwnerExempt is false). /verifyPassword is the most severe: with only a username and password (no session or MFA token), an attacker who knows a victim's password could retrieve their MFA secret and recovery codes, defeating the second factor. This issue has been patched in version 9.9.1-alpha.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS