CRITICAL🇬🇧 English

CVE-2026-32248

Parse Server — przejęcie konta przez manipulację zapytaniem (Auth Bypass)

CVSS 9.3v4.0pub. 2026-03-12upd. 2026-03-13

Nieuwierzytelniony atakujący może przejąć dowolne konto użytkownika w Parse Server, jeśli zostało ono utworzone za pomocą dostawcy uwierzytelniania nieweryfikującego formatu identyfikatora użytkownika (np. uwierzytelnianie anonimowe). Podatność jest krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji ofiary, a anonimowe uwierzytelnianie jest domyślnie włączone.

Pokaż oryginał (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.12 and 8.6.38, an unauthenticated attacker can take over any user account that was created with an authentication provider that does not validate the format of the user identifier (e.g. anonymous authentication). By sending a crafted login request, the attacker can cause the server to perform a pattern-matching query instead of an exact-match lookup, allowing the attacker to match an existing user and obtain a valid session token for that user's account. Both MongoDB and PostgreSQL database backends are affected. Any Parse Server deployment that allows anonymous authentication (enabled by default) is vulnerable. This vulnerability is fixed in 9.6.0-alpha.12 and 8.6.38.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie logowania, które powoduje, że serwer wykonuje zapytanie oparte na dopasowaniu wzorca (pattern-matching query) zamiast dokładnego dopasowania (exact-match lookup). Wynika to z nieprawidłowej obsługi danych wejściowych w warstwie zapytań do bazy danych (CWE-943 — improper neutralization of special elements in data query). Dzięki temu atakujący może dopasować istniejące konto użytkownika i uzyskać ważny token sesji (session token) bez znajomości hasła. Problem dotyczy zarówno backendu MongoDB, jak i PostgreSQL.

Skutki

Atakujący uzyskuje ważny token sesji dla wybranego konta użytkownika, co umożliwia mu pełne przejęcie tego konta i działanie w jego imieniu. Może to prowadzić do nieuprawnionego dostępu do danych oraz eskalacji uprawnień w aplikacji korzystającej z Parse Server.

Mitygacja

Należy zaktualizować Parse Server do wersji 8.6.38 lub 9.6.0-alpha.12 (albo nowszych). Szczegóły dostępne w referencjach producenta: https://github.com/parse-community/parse-server/releases/tag/8.6.38 oraz https://github.com/parse-community/parse-server/releases/tag/9.6.0-alpha.12. Do czasu wdrożenia patcha można rozważyć wyłączenie anonimowego uwierzytelniania, jeśli nie jest ono wymagane przez aplikację.

Kogo dotyczy

Parse Server (parseplatform/parse-server) w wersjach wcześniejszych niż 8.6.38 oraz wcześniejszych niż 9.6.0-alpha.12, z włączonym uwierzytelnianiem anonimowym (domyślnie aktywnym). Dotyczy wdrożeń używających baz danych MongoDB lub PostgreSQL.

Uwagi

Podatność została zgłoszona i naprawiona w projekcie open source Parse Server. Advisory dostępne pod adresem: https://github.com/parse-community/parse-server/security/advisories/GHSA-5fw2-8jcv-xh87. Data publikacji CVE: 2026-03-12.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Parseplatform Parse Server

    APP
    Parseplatform
    9.6.0< 8.6.389.0.0 – 9.6.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-34532CRITICAL9.1PL ✓ten sam produkt

Parse Server: obejście walidatorów Cloud Functions przez prototype chain

CVE-2026-32242CRITICAL9.1PL ✓ten sam produkt

Race condition w Parse Server — błędna walidacja tokenów OAuth2

CVE-2026-31856CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Parse Server (PostgreSQL) — operacje Increment na zagnieżdżonych polach

CVE-2026-31871CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Parse Server (PostgreSQL) — operacje Increment na polach zagnieżdżonych

CVE-2026-31840CRITICAL9.3PL ✓ten sam produkt

SQL Injection w Parse Server poprzez dot-notation i parametr sort (PostgreSQL)