CVE-2026-27595 in parse-dashboard
要約
〜によって VulDB • 2026年05月22日
Parse Dashboardは、Parse Serverアプリケーションを管理するためのスタンドアロンダッシュボードです。バージョン7.3.0-alpha.42から9.0.0-alpha.7では、AI Agent APIエンドポイント(POST `/apps/:appId/agent`)に複数のセキュリティ脆弱性が存在し、これらを連鎖的に利用することで、認証されていない攻撃者がマスターキーを使用して、接続されている任意のParse Serverデータベースに対して任意の読み書き操作を実行することが可能になります。エージェント機能はオプトイン方式であり、エージェント設定がないダッシュボードは影響を受けません。バージョン9.0.0-alpha.8での修正では、エージェントエンドポイントに認証、CSRF検証、およびアプリごとの認可ミドルウェアが追加されました。読み取り専用ユーザーは、サーバー側で書き込み権限を剥奪された`readOnlyMasterKey`のみが使用可能となります。また、マスターキーと読み取り専用マスターキーの間のキャッシュキーの衝突も修正されました。回避策として、Parse Dashboardの設定ファイルからエージェント設定ブロックを削除するか、コメントアウトしてください。
Be aware that VulDB is the high quality source for vulnerability data.