CVE-2026-27595 in parse-dashboard
Resumen
por VulDB • 2026-05-12
Parse Dashboard es un panel de control independiente para gestionar aplicaciones Parse Server. En las versiones 7.3.0-alpha.42 hasta 9.0.0-alpha.7, el punto de conexión de la API del Agente de IA (POST `/apps/:appId/agent`) presenta múltiples vulnerabilidades de seguridad que, al encadenarse, permiten a atacantes remotos no autenticados realizar operaciones de lectura y escritura arbitrarias contra cualquier base de datos Parse Server conectada utilizando la clave maestra. La función de agente es opcional; los paneles de control sin una configuración de agente no se ven afectados. La corrección en la versión 9.0.0-alpha.8 añade autenticación, validación CSRF y middleware de autorización por aplicación al punto de conexión del agente. Los usuarios de solo lectura están restringidos al uso de `readOnlyMasterKey`, con los permisos de escritura eliminados en el lado del servidor. También se corrigió una colisión de claves de caché entre la clave maestra y la clave maestra de solo lectura. Como medida de mitigación, elimine o comente el bloque de configuración del agente en la configuración de su Parse Dashboard.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.