CVE-2026-33624 in parse-community parse-serverinformación

Resumen

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.60 y 9.6.0-alpha.54, un atacante que obtiene la contraseña de un usuario y un único código de recuperación MFA puede reutilizar ese código de recuperación un número ilimitado de veces enviando solicitudes de inicio de sesión concurrentes. Esto anula el diseño de un solo uso de los códigos de recuperación. El ataque requiere la contraseña del usuario, un código de recuperación válido y la capacidad de enviar solicitudes concurrentes en cuestión de milisegundos. Este problema ha sido parcheado en las versiones 8.6.60 y 9.6.0-alpha.54.

Responsable

GitHub_M

Reservar

2026-03-23

Divulgación

2026-03-24

Voces

VulDB provides additional information and datapoints for this CVE:

IDVulnerabilidadCWEExpConCVE
352842parse-community parse-server condición de carrera367No está definidoArreglo oficialCVE-2026-33624

Descripción

CPE

CWE

CVSS

Hazañas

Historia

Diferencia

Relacionar

Inteligencia de amenazas

API JSON

API XML

API CSV

AnteriorVisión De ConjuntoPróximo

Do you need the next level of professionalism?

Upgrade your account now!