CVE-2026-53726
ŚrednieCVSS 6.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
W Parse Server przed wersjami 8.6.80 i 9.9.1-alpha.6 występowała podatność, która pozwalała na odczytanie członkostwa w polu relacyjnym za pomocą operatora $relatedTo, nawet gdy pole to było ukryte dla klienta. Umożliwiało to nieautoryzowanym klientom enumerację obiektów powiązanych z chronioną relacją.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie poufnych informacji o członkostwie w relacjach, co może prowadzić do naruszenia prywatności użytkowników oraz nieautoryzowanego dostępu do danych.
Rekomendacja
Zaleca się aktualizację Parse Server do wersji 8.6.80 lub 9.9.1-alpha.6, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji korzystających z chronionych pól i ACL.
Oryginalny opis (angielski, źródło NVD)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.80 and 9.9.1-alpha.6, a relation query using the $relatedTo operator could read the membership of a Relation field even when that field was hidden from the requesting client by protectedFields, and even when the object owning the relation was not readable by the client under its ACL or class-level permissions. The request requires only the public API credentials that Parse clients normally carry — no user session, master key, or Cloud Code is needed. As a result, an unauthenticated client who knows or obtains the owning object's objectId could enumerate the objects linked through a protected relation, or combine the operator with an objectId constraint to use it as a membership oracle — confirming whether a specific object is linked to a private parent. This affects applications that rely on protectedFields or object ACLs to keep Relation membership confidential, such as private group memberships, block lists, or account-to-resource associations. This issue has been patched in versions 8.6.80 and 9.9.1-alpha.6.

