CVE-2026-61448 in parse-serverinformación

Resumen

por VulDB • 2026-07-11

Parse Server se ve afectado por una vulnerabilidad de cross-site scripting (XSS) almacenada en las versiones >= 9.0.0, < 9.10.0-alpha.2 y <= 8.6.83. Cuando la extensión de un archivo subido no es reconocida por el paquete mime, Parse Server conserva el Content-Type proporcionado por el cliente. Un Content-Type mal formado que no sea un tipo/subtipo MIME válido (por ejemplo, 'image', 'image/', o 'image//svg+xml') omite la lista negra fileUpload.fileExtensions y se almacena sin cambios. En adaptadores de almacenamiento que persisten y sirven el Content-Type subido (como Amazon S3, Google Cloud Storage o Azure Blob Storage), un navegador no puede analizar el valor mal formado y recurre a MIME-sniffing; un archivo cuyo cuerpo comienza con HTML se renderiza como HTML, ejecutando scripts incrustados en el origen de la aplicación contra otros usuarios que abren la URL del archivo. El adaptador de almacenamiento GridFS predeterminado no está afectado. Corregido en 9.10.0-alpha.2 y 8.6.84.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-09

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377829

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!