CVE-2026-32742 in parse-serverinfo

Zusammenfassung

von VulDB • 20.05.2026

Parse Server ist ein Open-Source-Backend, das in jeder Infrastruktur eingesetzt werden kann, die Node.js ausführen kann. Vor den Versionen 9.6.0-alpha.17 und 8.6.42 kann ein authentifizierter Benutzer servergenerierte Sitzungsfelder (`sessionToken`, `expiresAt`, `createdWith`) überschreiben, wenn er ein Sitzungsobjekt über `POST /classes/_Session` erstellt. Dies ermöglicht das Umgehen der Sitzungsablaufrichtlinie des Servers, indem ein beliebiges Ablaufdatum in der fernen Zukunft festgelegt wird. Zudem kann damit ein vorhersagbarer Wert für das Sitzungstoken festgelegt werden. Ab Version 9.6.0-alpha.17 und 8.6.42 filtert der Endpunkt zur Sitzungserstellung servergenerierte Felder aus den vom Benutzer bereitgestellten Daten heraus, wodurch ein Überschreiben verhindert wird. Als Workaround kann ein `beforeSave`-Trigger für die Klasse `_Session` hinzugefügt werden, um alle vom Benutzer bereitgestellten Werte für `sessionToken`, `expiresAt` und `createdWith` zu validieren und abzulehnen oder zu entfernen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

13.03.2026

Veröffentlichung

19.03.2026

Moderieren

akzeptiert

Eintrag

VDB-351629

CPE

bereit

EPSS

0.00021

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32742
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32742
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32742/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!