nvd,anchore_overrides
Parseplatform
Уязвимости
113
Эксплуатируемые
0
Критический
20
Высокий
48
Топ уязвимостей
CVE-2026-30966Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.5.2-альфа.7 и 8.6.20 внутренние таблицы Parse Server, в которых хранятся отображения полей отношений, такие как членство в ролях, могут быть напрямую доступны через REST API или GraphQL API любым клиентом, использующего только ключ приложения. Не требуется мастер-ключ. Агрессор может создавать, читать, обновлять или удалять записи в любой таблице внутренних отношений. Эксплуатация этого позволяет злоумышленнику вводить себя в любую роль Парса, получая все разрешения, связанные с этой ролью, включая полное чтение, запись и удаление доступа к классам, защищенным разрешениями на уровне класса (CLP). Аналогично, написание на любую такую таблицу, которая поддерживает поле Отношения, используемое в указательном поле, обходит этот контроль доступа. Эта уязвимость зафиксирована в пунктах 9.5.2-альфа.7 и 8.6.20.
CVE-2024-27298parse-server - это Parse Server для Node.js / Express. Эта уязвимость позволяет выполнить SQL-инъекцию, когда Parse Server настроен для использования базы данных PostgreSQL. Уязвимость была исправлена в версиях 6.5.0 и 7.0.0-alpha.20.
CVE-2022-24760Parse Server — это веб-сервер с открытым исходным кодом. В версиях до 4.10.7 существует уязвимость удаленного выполнения кода (RCE) в Parse Server. Эта уязвимость затрагивает Parse Server в конфигурации по умолчанию с MongoDB. Основная слабость, приводящая к RCE, — это код, уязвимый для загрязнения прототипа, в файле `DatabaseController.js`, поэтому он, вероятно, затронет Postgres и любой другой серверной части базы данных. Эта уязвимость была подтверждена в Linux (Ubuntu) и Windows. Пользователям рекомендуется как можно скорее выполнить обновление. Единственным известным обходным решением является ручное исправление вашей установки кодом, указанным в источнике GHSA-p6h4-93qp-jhcm.
CVE-2026-30965Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.5.2-альфа.8 и 8.6.21 уязвимость в обработке запросов Parse Server позволяет аутентифицированному или неаутентифицированному злоумышленнику эксфильтровать сессионные токены других пользователей, используя параметр запроса redirectClassNameForKey. Эксфильтрационные сессионные токены могут использоваться для захвата учетных записей пользователей. Уязвимость требует, чтобы злоумышленник мог создавать или обновлять объект с новым полем отношения, которое зависит от Разрешений классового уровня по меньшей мере одного класса. Эта уязвимость зафиксирована в пунктах 9.5.2-альфа.8 и 8.6.21.
CVE-2026-27595Parse Dashboard - это автономная панель инструментов для управления приложениями Parse Server. В версиях 7.3.0-альфа.42 до 9.0.0-альфа.7 конечная точка API AI Agent (POST`/apps/appId/agent/agent) имеет множество уязвимостей безопасности, которые при приковываются к сети позволяют неаутентифицированным удаленным злоумышленникам выполнять произвольные операции по чтению и записи против любой подключенной базы данных Parse Server с использованием мастер-клавиши. Функция агента - opt-in; панели инструментов без конфигурации агента не затрагиваются. Исправление в версии 9.0.0-alpha.8 добавляет аутентификацию, проверку CSRF и промежуточное полотно для авторизации для агента. Пользователи, предназначенные только для чтения, ограничены «readOnlyMasterKey`» с разрешениями на запись, снятыми на стороне сервера. Также было исправлено столкновение ключей кэша между мастер-ключом и мастер-ключом только для чтения. В качестве обходного хода удалите или прокомментируйте блок конфигурации агента из конфигурации Parse Dashboard.
CVE-2024-39309Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть на любой инфраструктуре, способной запускать Node.js. Уязвимость в версиях до 6.5.7 и 7.1.0 позволяет выполнить SQL-инъекцию, когда Parse Server настроен на использование базы данных PostgreSQL. Алгоритм обнаружения SQL-инъекций был улучшен в версиях 6.5.7 и 7.1.0. Никаких известных обходных путей не существует.
CVE-2023-36475Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть на любой инфраструктуре, которая может запускать Node.js. До версий 5.5.2 и 6.2.1 злоумышленник может использовать приемник загрязнения прототипа для запуска удаленного выполнения кода через синтаксический анализатор MongoDB BSON. Патч доступен в версиях 5.5.2 и 6.2.1.
CVE-2022-41879Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, способной запускать Node.js. В версиях до 5.3.3 или 4.10.20 скомпрометированная целевая конечная точка веб-перехватчика Parse Server Cloud Code позволяет злоумышленнику использовать загрязнение прототипа для обхода параметра Parse Server `requestKeywordDenylist`. Эта проблема была исправлена в версиях 5.3.3 и 4.10.20. Обходных путей нет.
CVE-2022-41878Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, способной запускать Node.js. В версиях до 5.3.2 или 4.10.19 ключевые слова, указанные в параметре Parse Server `requestKeywordDenylist`, можно внедрить через веб-перехватчики или триггеры Cloud Code. Это приведет к сохранению ключевого слова в базе данных, минуя параметр `requestKeywordDenylist`. Эта проблема исправлена в версиях 4.10.19 и 5.3.2. Если обновление невозможно, можно применить следующие обходные пути: настройте брандмауэр так, чтобы только доверенные серверы могли отправлять запросы к API веб-перехватчиков Parse Server Cloud Code или полностью заблокируйте API, если вы не используете эту функцию.
CVE-2022-39396Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, способной запускать Node.js. Версии до 4.10.18 и до 5.3.1 в ветке 5.X уязвимы для удаленного выполнения кода через загрязнение прототипа. Злоумышленник может использовать эту раковину загрязнения прототипа для запуска удаленного выполнения кода через синтаксический анализатор MongoDB BSON. Эта проблема исправлена в версии 5.3.1 и в 4.10.18. Неизвестны обходные пути.
CVE-2026-32248Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.12 и 8.6.38 незавершенный злоумышленник может взять на себя любую учетную запись пользователя, которая была создана с помощью поставщика аутентификации, который не проверяет формат идентификатора пользователя (например, анонимная аутентификация). Отправляя созданный запрос на вход в систему, злоумышленник может заставить сервер выполнить запрос, соответствующий шаблону, вместо точного поиска матча, что позволит злоумышленнику сопоставить существующего пользователя и получить действительный токен сеанса для учетной записи этого пользователя. Затронуты бэкэнды баз данных MongoDB и PostgreSQL. Любое развертывание Parse Server, которое позволяет анонимную аутентификацию (включаемое по умолчанию), является уязвимым. Эта уязвимость исправлена в 9.6.0-альфа12 и 8.6.38.
CVE-2026-31871Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.5 и 8.6.31 в адаптере хранения данных PostgreSQL существует уязвимость инъекций SQL при обработке операций инкремента на полях вложенных объектов с использованием нотных нот (например, stats.counter). Имя подключичного интерфейса интерположительно в строковых буквальности SQL без побега. Злоумышленник, который может отправлять запросы на запись в API Parse Server REST, может впрыснуть произвольный SQL через созданное подключенное имя, содержащее отдельные цитаты, потенциально выполняющее команды или считывание данных из базы данных, минуя CLP и ACL. Пострадали только послеграбление. Эта уязвимость зафиксирована в пунктах 9.6.0-альфа.5 и 8.6.31.
CVE-2026-31856Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. Уязвимость инъекций SQL существует в адаптере хранения PostgreSQL при обработке операций инкремента на полях вложенных объектов с использованием обозначения точек (например, stats.counter). Значение суммы интерполируется непосредственно в запрос SQL без параметризации или проверки типа. Агитатор, который может отправлять запросы на запись в API Parse Server REST, может вводить произвольные подзапросы SQL для чтения любых данных из базы данных, минуя CLP и ACL. Развертывание MongoDB не пострадало. Эта уязвимость зафиксирована в пунктах 9.6.0-альфа.3 и 8.6.29.
CVE-2026-31840Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.2 и 8.6.28 злоумышленник может использовать имя поля dot-notation в сочетании с параметром типа запроса для впрыска SQL в базу данных PostgreSQL посредством неправильного отклонения значений подполя в запросах dot-нотации. Уязвимость может также влиять на запросы, которые используют названия полей dot-нотации с различными параметрами и где находятся параметры запроса. Эта уязвимость затрагивает только развертывания с использованием базы данных PostgreSQL. Эта уязвимость зафиксирована в пунктах 9.6.0-альфа.2 и 8.6.28.
CVE-2026-30863Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До версий 8.6.10 и 9.5.0-альфа11 адаптеры аутентификации Google, Apple и Facebook используют проверку JWT для проверки токенов идентификации. Когда опция настройки аудитории адаптера не установлена (клиент для Google/Apple, appId для Facebook), проверка JWT молча пропускает подтверждение утверждения аудитории. Это позволяет злоумышленнику использовать законно подписанный JWT, выданный для другого приложения, для аутентификации в качестве любого пользователя на целевом сервере Parse. Этот выпуск был исправлен в версиях 8.6.10 и 9.5.0-альфа.11.
CVE-2026-27804Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До версий 8.6.3 и 9.1.1-альфа.4 без аутентификации злоумышленник может подделывать токен аутентификации Google с `alg: "none"` для входа в систему, как любой пользователь, связанный с учетной записью Google, не зная своих учетных данных. Все развертывания с включенной аутентификацией Google затронуты. Устройство в версиях 8.6.3 и 9.1.1-альфа.4 кодирует ожидаемый `RS256` алгоритм вместо доверия к заголовку JWT и заменяет пользовательский ключ адаптера Google на `jwks-rsa`, который отклоняет неизвестные идентификаторы ключей. В качестве обходного пути, отключите аутентификацию Google до обновления.
CVE-2026-27608Parse Dashboard - это автономная панель инструментов для управления приложениями Parse Server. В версиях 7.3.0-alpha.42-9.0-alpha.7 конечная точка API AI Agent (`POST /apps/apps/appId/agent/agent) не обеспечивает авторизацию. Аутентифицированные пользователи, доступные к конкретным приложениям, могут получить доступ к конечной точке агента любого другого приложения, изменив идентификатор приложения в URL. Пользователи только для чтения получают полный мастер-ключ вместо мастер-ключа только для чтения и могут предоставлять разрешения на запись в органе запроса для выполнения операций записи и удаления. Затрагиваются только панели с включенной конфигурацией агента. Исправление в версии 9.0.0-альфа.8 добавляет проверки авторизации на приложение и ограничивает пользователей только для чтения в «readOnlyMasterKey`» с разрешениями записи, снятыми на стороне сервера. В качестве обходного действия удалите блок конфигурации `agent` из конфигурации вашей панели. Приборные панели без конфигурации агента не затрагиваются.
CVE-2026-34532Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До версий 8.6.67 и 9.7.0-альфа.11 злоумышленник может обойти элементы управления доступом к валидатора Cloud Function, приложив «prototype.constructor» к имени функции в URL. Когда обработчик облачных функций объявляется с использованием ключевого слова функции, а его валидатор является простой объект или функцией стрелки, обход триггерного хранилища решает обработчик через собственную цепочку прототипа, в то время как магазин валидатора не отражает этот обход, в результате чего все настройки контроля доступа будут пропущены. Это позволяет неаутентифицированным абонентам ссылаться на облачные функции, которые предназначены для защиты валидаторов, таких как логика проверки пользователя, потребляющегоMaster или пользовательской логики проверки. Этот выпуск был исправлен в версиях 8.6.67 и 9.7.0-альфа.11.
CVE-2026-32242Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.11 и 8.6.37 встроенный адаптеров Oracle Parse Server выпускает однотонный экземпляр, который повторно используется непосредственно во всех конфигурациях провайдера OAuth2. При одновременном запросе на аутентификацию для различных поставщиков OAuth2 проверка токена одного провайдера может выполняться с использованием конфигурации другого провайдера, потенциально позволяя принимать токен, который должен быть отклонен одним поставщиком, поскольку он подтвержден по политике другого провайдера. Развертывания, которые настраивают несколько провайдеров OAuth2 через oauth2: затронуты истинный флаг. Эта уязвимость зафиксирована в пунктах 9.6.0-альфа11 и 8.6.37.
CVE-2024-29027Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, способной запускать Node.js. До версий 6.5.5 и 7.0.0-alpha.29 вызов недействительного имени облачной функции Parse Server или имени облачного задания приводит к сбою сервера и может позволить внедрить код, манипулировать внутренней памятью или удаленно выполнить код. Исправление в версиях 6.5.5 и 7.0.0-alpha.29 добавило очистку строк для имени облачной функции и имени облачного задания. В качестве обходного пути очистите имя облачной функции и имя облачного задания, прежде чем они достигнут Parse Server.
CVE-2026-31800Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.5.2-альфа12 и 8.6.25 внутренние классы _GraphQLConfig и Audience могут быть прочитаны, изменены и удалены через общие маршруты /classes/_GraphQLConfig и /classes/_Audience REST API без аутентификации мастер-ключа. Это обходит мастер-ключ правоприменение, которое существует на выделенных /graphql-config и /push_audiences конечных точек. Злоумышленник может читать, изменять и удалять конфигурацию GraphQL и толкать данные аудитории. Эта уязвимость зафиксирована в пунктах 9.5.2-альфа12 и 8.6.25.
CVE-2026-30939Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 8.6.13 и 9.5.1-альфа.2 неаутентифицированный злоумышленник может сломать процесс Parse Server, назвав конечную точку Cloud Function с именем свойства прототипа в качестве имени функции. Сервер бесконечно повторяется, вызывая ошибку размера стека вызовов, которая завершает процесс. Другие прототипы имен свойств обхода валидации Cloud Function и возвращают ответы HTTP 200, даже если такие облачные функции не определены. То же самое относится и к dot-нотациям. Все развертывания сервера Parse, которые обнажают конечную точку функции облака, затрагиваются. Эта уязвимость зафиксирована в пунктах 8.6.13 и 9.5.1-альфа.2.
CVE-2026-33538Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может работать под запуском Node.js. До версий 8.6.58 и 9.6.0-alpha.52 без аутентификации злоумышленник может вызвать отказ в обслуживании, отправив запросы на аутентификацию с произвольными, ненастроенными именами провайдера. Сервер выполняет запрос базы данных для каждого ненастроенного провайдера перед отклонением запроса, и, поскольку индекс базы данных не существует для ненастроенных поставщиков, каждый запрос запускает полное сканирование сбора в базе данных пользователя. Это можно параллелизовать с насыщенными ресурсами баз данных. Этот выпуск был исправлен в версиях 8.6.58 и 9.6.0-альфа.52.
CVE-2026-33498Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может работать под управлением Node.js. До версий 8.6.55 и 9.6.0-альфа.44 злоумышленник может отправить неаутентифицированный HTTP-запрос с глубоко вложенным запросом, содержащим логических операторов, чтобы навсегда повесить процесс Parse Server. Сервер становится полностью невосприимчивым и должен быть перезагружен вручную. Это обход фиксации для CVE-2026-32944. Этот выпуск был исправлен в версиях 8.6.55 и 9.6.0-альфа.44.
CVE-2026-32944Parse Server - это бэкэнд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может запускать Node.js. До 9.6.0-альфа.21 и 8.6.45 без аутентификации злоумышленник может сломать процесс Parse Server, отправив один запрос с глубоко вложенными операторами условий запроса. Это прекращает работу сервера и отказывает в обслуживании всем подключенным клиентам. Начиная с версий 9.6.0-alpha.21 и 8.6.45, предел глубины для гнездования оператора состояния запросов был добавлен через опцию «requestComplexity.queryDepth` сервер». Опция отключена по умолчанию, чтобы избежать сбоя. Чтобы смягчить, обновить и установить опцию до значения, подходящего для вашего приложения. Известных обходных путей не имеется.