CVE-2026-32098 in parse-server
要約
〜によって VulDB • 2026年06月05日
Parse Serverは、Node.jsを実行可能なインフラストラクチャにデプロイできるオープンソースのバックエンドです。バージョン9.6.0-alpha.9および8.6.35より前では、攻撃者はLiveQueryのサブスクリプションを悪用して、保護されたフィールドの値を直接受信することなく推測することができます。保護されたフィールド(ドット表記や$regex経由を含む)を参照するWHERE句を使用してサブスクライブすることで、攻撃者は一致するオブジェクトに対してLiveQueryイベントが配信されるかどうかを観察できます。これにより、保護されたフィールドの値を漏洩させるブールオラクルが作成されます。この脆弱性は、クラスレベルの権限でprotectedFieldsが設定され、かつLiveQueryが有効になっているすべてのクラスに影響します。この脆弱性は9.6.0-alpha.9および8.6.35で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.