CVE-2026-29000

CRÍTIC (10,0)

CVSS3: 0,0

Parse Server és un backend de codi obert que es pot desplegar en qualsevol infraestructura que pugui executar Node.js. Abans de 9.5.2-alpha.7 i 8.6.20, les taules internes de Parse Server, que emmagatzemen mapatges de camps Relation com a membres de rol, poden ser accedides directament a través de l’API REST o l’API GraphQL per qualsevol client usant només la clau d’aplicació. No cal clau mestra. Un atacant pot crear, llegir, actualitzar o eliminar registres a qualsevol taula de relació interna. Explotar això permet que l’atacant s’injecti a qualsevol rol de Parse, per obtenir tots els permisos associats amb aquest rol, inclòs l’accés complet de lectura, escriptura i eliminació a classes protegides per Permisos a Nivell de Classe (CLP) basats en rols. De manera similar, escriure a qualsevol taula d’aquest tipus que dona suport a un camp Relation utilitzat en un CLP de pointerFields eludeix aquest control d’accés. Aquesta vulnerabilitat està corregida a 9.5.2-alpha.7 i 8.6.20.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• Parseplatform Parse-Server
• Parseplatform Parse-Server 9.5.2

Remediació

Vegeu-ne les Referències.

Referències

• Product;Release Notes
• Product;Release Notes
• Patch;Vendor Advisory