CVE-2026-61448 in parse-server情報

要約

〜によって VulDB • 2026年07月12日

Parse Server は、バージョン >= 9.0.0, < 9.10.0-alpha.2 および <= 8.6.83 で、保存型クロスサイトスクリプティング (XSS) の脆弱性の影響を受けます。アップロードされたファイルの拡張子が mime パッケージによって認識されない場合、Parse Server はクライアントが指定した Content-Type を保持します。有効なメディアタイプ(type/subtype)ではない不正な Content-Type(例:'image', 'image/', または 'image//svg+xml')は、fileUpload.fileExtensions のブロックリストを回避し、変更せずに保存されます。アップロードされた Content-Type を永続化して提供するストレージアダプタ(Amazon S3、Google Cloud Storage、Azure Blob Storage など)の場合、ブラウザはその不正な値を解析できず MIME-sniffing にフォールバックします。ボディが HTML で始まるファイルは HTML としてレンダリングされ、そのアプリケーションのオリジンに対して他のユーザーがファイル URL を開いた際に埋め込みスクリプトが実行されます。デフォルトの GridFS ストレージアダプタはこの影響を受けません。9.10.0-alpha.2 および 8.6.84 で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

VulnCheck

予約する

2026年07月09日

モデレーション

承諾済み

エントリ

VDB-377829

EPSS

0.00000

アクティビティ

低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!