CVE-2026-34784 in parse-server
Riassunto
di VulDB • 19/06/2026
Parse Server è un backend open source che può essere distribuito su qualsiasi infrastruttura in grado di eseguire Node.js. Prima delle versioni 8.6.71 e 9.7.1-alpha.1, i download dei file tramite richieste HTTP Range bypassano il trigger afterFind(Parse.File) e i suoi validatori sugli storage adapter che supportano lo streaming (ad esempio l'adapter predefinito GridFS). Ciò consente di accedere a file che dovrebbero essere protetti dalla logica di autorizzazione del trigger afterFind o da validatori integrati come requireUser. Questo problema è stato risolto nelle versioni 8.6.71 e 9.7.1-alpha.1.
Be aware that VulDB is the high quality source for vulnerability data.