Nieuwierzytelniony atakujący może przejąć dowolne konto użytkownika w Parse Server, jeśli zostało ono utworzone za pomocą dostawcy uwierzytelniania nieweryfikującego formatu identyfikatora użytkownika (np. uwierzytelnianie anonimowe). Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji ofiary, a anonimowe uwierzytelnianie jest domyślnie włączone.
▸ Pokaż oryginał (EN)
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.12 and 8.6.38, an unauthenticated attacker can take over any user account that was created with an authentication provider that does not validate the format of the user identifier (e.g. anonymous authentication). By sending a crafted login request, the attacker can cause the server to perform a pattern-matching query instead of an exact-match lookup, allowing the attacker to match an existing user and obtain a valid session token for that user's account. Both MongoDB and PostgreSQL database backends are affected. Any Parse Server deployment that allows anonymous authentication (enabled by default) is vulnerable. This vulnerability is fixed in 9.6.0-alpha.12 and 8.6.38.
Atakujący wysyła spreparowane żądanie logowania, które powoduje, że serwer wykonuje zapytanie oparte na dopasowaniu wzorca (pattern-matching query) zamiast dokładnego dopasowania (exact-match lookup). Wynika to z nieprawidłowej obsługi danych wejściowych w warstwie zapytań do bazy danych (CWE-943 — improper neutralization of special elements in data query). Dzięki temu atakujący może dopasować istniejące konto użytkownika i uzyskać ważny token sesji (session token) bez znajomości hasła. Problem dotyczy zarówno backendu MongoDB, jak i PostgreSQL.
Atakujący uzyskuje ważny token sesji dla wybranego konta użytkownika, co umożliwia mu pełne przejęcie tego konta i działanie w jego imieniu. Może to prowadzić do nieuprawnionego dostępu do danych oraz eskalacji uprawnień w aplikacji korzystającej z Parse Server.
Należy zaktualizować Parse Server do wersji 8.6.38 lub 9.6.0-alpha.12 (albo nowszych). Szczegóły dostępne w referencjach producenta: https://github.com/parse-community/parse-server/releases/tag/8.6.38 oraz https://github.com/parse-community/parse-server/releases/tag/9.6.0-alpha.12. Do czasu wdrożenia patcha można rozważyć wyłączenie anonimowego uwierzytelniania, jeśli nie jest ono wymagane przez aplikację.
Parse Server (parseplatform/parse-server) w wersjach wcześniejszych niż 8.6.38 oraz wcześniejszych niż 9.6.0-alpha.12, z włączonym uwierzytelnianiem anonimowym (domyślnie aktywnym). Dotyczy wdrożeń używających baz danych MongoDB lub PostgreSQL.
Podatność została zgłoszona i naprawiona w projekcie open source Parse Server. Advisory dostępne pod adresem: https://github.com/parse-community/parse-server/security/advisories/GHSA-5fw2-8jcv-xh87. Data publikacji CVE: 2026-03-12.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XParseplatform Parse Server
APPParseplatform9.6.0< 8.6.389.0.0 – 9.6.0 (bez)
Powiązane podatności
Parse Server: obejście walidatorów Cloud Functions przez prototype chain
Race condition w Parse Server — błędna walidacja tokenów OAuth2
SQL Injection w Parse Server (PostgreSQL) — operacje Increment na zagnieżdżonych polach
SQL Injection w Parse Server (PostgreSQL) — operacje Increment na polach zagnieżdżonych
SQL Injection w Parse Server poprzez dot-notation i parametr sort (PostgreSQL)