CVE-2026-32728 in parse-serverinfo

Zusammenfassung

von VulDB • 19.05.2026

Parse Server ist ein Open-Source-Backend, das in jeder Infrastruktur bereitgestellt werden kann, die Node.js ausführen kann. Vor den Versionen 9.6.0-alpha.15 und 8.6.41 kann ein Angreifer, der zum Hochladen von Dateien berechtigt ist, den Dateierweiterungsfilter umgehen, indem er einen MIME-Parameter (z. B. `;charset=utf-8`) an den `Content-Type`-Header anhängt. Dies führt dazu, dass die Erweiterungsbewertung nicht mit der Blockliste übereinstimmt, wodurch aktiver Inhalt im Domänenbereich der Anwendung gespeichert und bereitgestellt werden kann. Darüber hinaus sind bestimmte XML-basierte Dateierweiterungen, die Skripte in Webbrowsern rendern können, nicht in der Standard-Blockliste enthalten. Dies kann zu gespeicherten XSS-Angriffen (Cross-Site Scripting) führen, die Sitzungs-Token, Benutzeranmeldeinformationen oder andere über den lokalen Speicher des Browsers zugängliche sensible Daten kompromittieren. Die Korrektur in den Versionen 9.6.0-alpha.15 und 8.6.41 entfernt MIME-Parameter aus dem `Content-Type`-Header, bevor die Dateierweiterung gegen die Blockliste überprüft wird. Die Standard-Blockliste wurde zudem um zusätzliche XML-basierte Erweiterungen (`xsd`, `rng`, `rdf`, `rdf+xml`, `owl`, `mathml`, `mathml+xml`) erweitert, die aktiven Inhalt in Webbrowsern rendern können. Beachten Sie, dass die Option `fileUpload.fileExtensions` als Allowlist (Zulassungsliste) von Dateierweiterungen konfiguriert werden soll, die für eine bestimmte Anwendung gültig sind, und nicht als Denylist (Ablehnungsliste). Die Standard-Denylist wird nur als grundlegender Standardwert bereitgestellt, der die meisten gängigen problematischen Erweiterungen abdeckt. Sie ist nicht als erschöpfende Liste aller potenziell gefährlichen Erweiterungen gedacht. Entwickler sollten sich nicht auf den Standardwert verlassen, da in Zukunft neue Erweiterungen, die aktiven Inhalt in Browsern rendern können, auftreten könnten. Als Workaround sollte die Option `fileUpload.fileExtensions` so konfiguriert werden, dass sie nur die Dateierweiterungen verwendet, die Ihre Anwendung benötigt, anstatt sich auf die Standard-Blockliste zu verlassen.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.03.2026

Veröffentlichung

19.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351639

CPE

bereit

CWE

CWE-79 (bestätigt)

CVSS

7.6 (NVD)

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32728
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32728
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32728/

◂ Zurück Übersicht Weiter ▸

Do you need the next level of professionalism?

Upgrade your account now!