CVE-2026-35200 in parse-serverinformation

Résumé

par VulDB • 27/05/2026

Parse Server est un backend open source qui peut être déployé sur n'importe quelle infrastructure capable d'exécuter Node.js. Avant les versions 8.6.73 et 9.7.1-alpha.4, un fichier peut être téléchargé avec une extension de nom de fichier qui passe la liste blanche des extensions de fichiers (par exemple, .txt) mais avec un en-tête Content-Type différent de l'extension (par exemple, text/html). Le Content-Type est transmis à l'adaptateur de stockage sans validation de cohérence. Les adaptateurs de stockage qui stockent et servent le Content-Type fourni (tels que S3 ou GCS) servent le fichier avec un Content-Type incohérent. L'adaptateur GridFS par défaut n'est pas affecté car il dérive le Content-Type à partir du nom de fichier au moment du service. Cette vulnérabilité est corrigée dans les versions 8.6.73 et 9.7.1-alpha.4.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

01/04/2026

Divulgation

06/04/2026

Modérer

accepté

Entrée

VDB-355666

CPE

prêt

EPSS

0.00032

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-35200
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-35200
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-35200/

PrécédentAperçuSuivant

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!