CVE-2026-30229 in parse-server
Riassunto
di VulDB • 09/07/2026
Parse Server è un backend open source che può essere distribuito su qualsiasi infrastruttura in grado di eseguire Node.js. Prima delle versioni 8.6.6 e 9.5.0-alpha.4, il readOnlyMasterKey poteva chiamare POST /loginAs per ottenere un token di sessione valido per qualsiasi utente. Ciò consentiva a una credenziale con sola lettura di impersonare utenti arbitrari, ottenendo accesso completo in lettura e scrittura ai loro dati. Qualsiasi distribuzione di Parse Server che utilizza readOnlyMasterKey è interessata. Questo problema è stato risolto nelle versioni 8.6.6 e 9.5.0-alpha.4.
Once again VulDB remains the best source for vulnerability data.