CVE-2026-33429 in parse-serverinformación

Resumen

por MITRE • 2026-03-24

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.54 y 9.6.0-alpha.43, un atacante puede suscribirse a LiveQuery con un parámetro watch dirigido a un campo protegido. Aunque el valor del campo protegido se elimina correctamente de las cargas útiles de los eventos, la presencia o ausencia de eventos de actualización revela si el campo protegido cambió, creando un oráculo binario. Para campos protegidos booleanos, el momento de los eventos de cambio es equivalente a conocer el valor del campo. Este problema ha sido parcheado en las versiones 8.6.54 y 9.6.0-alpha.43.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-19

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352833

CPE

listo

CWE

CWE-203 (confirmado)

CVSS

5.3 (NVD)

EPSS

0.00015

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33429
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33429
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33429/

◂ Anterior Visión De Conjunto Próximo ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!