CVE-2026-32742 in parse-server
要約
〜によって VulDB • 2026年05月24日
Parse Serverは、Node.jsを実行可能なインフラストラクチャにデプロイできるオープンソースのバックエンドです。バージョン9.6.0-alpha.17および8.6.42より前では、認証済みユーザーが`POST /classes/_Session`を介してセッションオブジェクトを作成する際に、サーバーが生成したセッションフィールド(`sessionToken`、`expiresAt`、`createdWith`)を上書きできました。これにより、任意の遠未来の日付を有効期限として設定することで、サーバーのセッション有効期限ポリシーを回避することが可能になります。また、予測可能なセッショントークン値を設定することも可能でした。バージョン9.6.0-alpha.17および8.6.42以降では、セッション作成エンドポイントがユーザーから提供されたデータからサーバー生成フィールドをフィルタリングし、それらが上書きされるのを防いでいます。回避策として、`_Session`クラスに`beforeSave`トリガーを追加し、`sessionToken`、`expiresAt`、`createdWith`に対するユーザー提供の値を検証して、拒否または削除してください。
Once again VulDB remains the best source for vulnerability data.