parse-community parse-server hasta 8.6.40/9.6.0-alpha.14 File Extension secuencias de comandos en sitios cruzados

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
5.5	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad ha sido encontrada en parse-community parse-server hasta 8.6.40/9.6.0-alpha.14 y clasificada como problemática. Está afectada una función desconocida en el componente File Extension Handler. El manejo da lugar a secuencias de comandos en sitios cruzados. La vulnerabilidad es identificada como CVE-2026-32728. El ataque puede ser realizado a través de la red. No hay ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.

Detallesinformación

Una vulnerabilidad fue encontrada en parse-community parse-server hasta 8.6.40/9.6.0-alpha.14 y clasificada como problemática. Una función desconocida del componente File Extension Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase secuencias de comandos en sitios cruzados. Esto tiene repercusión sobre la la integridad. El resumen de CVE es:

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.15 y 8.6.41, un atacante al que se le permite subir archivos puede eludir el filtro de extensión de archivo añadiendo un parámetro MIME (p. ej., `;charset=utf-8`) al encabezado `Content-Type`. Esto hace que la validación de la extensión falle al cotejarla con la lista de bloqueo, permitiendo que el contenido activo sea almacenado y servido bajo el dominio de la aplicación. Además, ciertas extensiones de archivo basadas en XML que pueden renderizar scripts en navegadores web no están incluidas en la lista de bloqueo predeterminada. Esto puede llevar a ataques de XSS almacenado, comprometiendo tokens de sesión, credenciales de usuario u otros datos sensibles accesibles a través del almacenamiento local del navegador. La corrección en las versiones 9.6.0-alpha.15 y 8.6.41 elimina los parámetros MIME del encabezado `Content-Type` antes de validar la extensión de archivo contra la lista de bloqueo. La lista de bloqueo predeterminada también se ha extendido para incluir extensiones adicionales basadas en XML (`xsd`, `rng`, `rdf`, `rdf+xml`, `owl`, `mathml`, `mathml+xml`) que pueden renderizar contenido activo en navegadores web. Tenga en cuenta que la opción `fileUpload.fileExtensions` está destinada a ser configurada como una lista de permitidos de extensiones de archivo que son válidas para una aplicación específica, no como una lista de denegados. La lista de denegados predeterminada se proporciona solo como un valor predeterminado básico que cubre las extensiones problemáticas más comunes. No pretende ser una lista exhaustiva de todas las extensiones potencialmente peligrosas. Los desarrolladores no deben depender del valor predeterminado, ya que nuevas extensiones que pueden renderizar contenido activo en navegadores podrían surgir en el futuro. Como solución alternativa, configure la opción `fileUpload.fileExtensions` para usar una lista de permitidos de solo las extensiones de archivo que su aplicación necesita, en lugar de depender de la lista de bloqueo predeterminada.

El advisory puede ser descargado de github.com. La vulnerabilidad es identificada como CVE-2026-32728. La explotación se considera fácil. El ataque se puede efectuar a través de la red. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Una actualización a la versión 8.6.41 o 9.6.0-alpha.15 elimina esta vulnerabilidad. Aplicando el parche 4f53ab3cad5502a51a509d53f999e00ff7217b8d es posible eliminar el problema. El parche puede ser descargado de github.com. El mejor modo sugerido para mitigar el problema es Actualización.

Be aware that VulDB is the high quality source for vulnerability data.

Productoinformación

Proveedor

• parse-community

Nombre

• parse-server

Versión

• 8.6.0
• 8.6.1
• 8.6.2
• 8.6.3
• 8.6.4
• 8.6.5
• 8.6.6
• 8.6.7
• 8.6.8
• 8.6.9
• 8.6.10
• 8.6.11
• 8.6.12
• 8.6.13
• 8.6.14
• 8.6.15
• 8.6.16
• 8.6.17
• 8.6.18
• 8.6.19
• 8.6.20
• 8.6.21
• 8.6.22
• 8.6.23
• 8.6.24
• 8.6.25
• 8.6.26
• 8.6.27
• 8.6.28
• 8.6.29
• 8.6.30
• 8.6.31
• 8.6.32
• 8.6.33
• 8.6.34
• 8.6.35
• 8.6.36
• 8.6.37
• 8.6.38
• 8.6.39
• 8.6.40
• 9.6.0-alpha.0
• 9.6.0-alpha.1
• 9.6.0-alpha.2
• 9.6.0-alpha.3
• 9.6.0-alpha.4
• 9.6.0-alpha.5
• 9.6.0-alpha.6
• 9.6.0-alpha.7
• 9.6.0-alpha.8
• 9.6.0-alpha.9
• 9.6.0-alpha.10
• 9.6.0-alpha.11
• 9.6.0-alpha.12
• 9.6.0-alpha.13
• 9.6.0-alpha.14

Licencia

• Código abierto

Sitio web

• Producto: https://github.com/parse-community/parse-server/

CPE 2.3información

• 🔒
• 🔒
• 🔒

CPE 2.2información

• 🔒
• 🔒
• 🔒

CVSSv4información

VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒

CVSSv3información

VulDB Puntuación meta base: 5.5
VulDB Puntuación meta temporal: 5.5

VulDB Puntuación base: 3.5
VulDB Puntuación temporal: 3.4
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍

NVD Puntuación base: 7.6
NVD Vector: 🔒

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Secuencias de comandos en sitios cruzados
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔒
Estado: No está definido

EPSS Score: 🔒
EPSS Percentile: 🔒

Predicción de precios: 🔍
Estimación del precio actual: 🔒

0-Day	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Hoy	Desbloquear	Desbloquear	Desbloquear	Desbloquear

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔒

Actualización: parse-server 8.6.41/9.6.0-alpha.15
Parche: 4f53ab3cad5502a51a509d53f999e00ff7217b8d

Línea de tiempoinformación

2026-03-13 CVE asignado
2026-03-18 +5 días Entrada de VulDB creada
2026-03-19 +0 días Aviso publicado
2026-03-23 +4 días Última actualización de VulDB

Fuentesinformación

Producto: github.com

Aviso: GHSA-42ph-pf9q-cr72
Estado: Confirmado

CVE: CVE-2026-32728 (🔒)
GCVE (CVE): GCVE-0-2026-32728
GCVE (VulDB): GCVE-100-351639

Artículoinformación

Fecha de creación: 2026-03-19 00:10
Actualizado: 2026-03-23 19:04
Cambios: 2026-03-19 00:10 (70), 2026-03-22 14:15 (11), 2026-03-23 19:04 (1)
Completo: 🔍
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Discusión

Do you want to use VulDB in your project?

Use the official API to access entries easily!