CVE-2026-30925 in parse-server
요약
\~에 의해 VulDB • 2026. 05. 26.
Parse Server는 Node.js를 실행할 수 있는 모든 인프라에 배포할 수 있는 오픈 소스 백엔드입니다. 버전 9.5.0-alpha.14 및 8.6.11 이전에서, 악의적인 클라이언트가 치명적인 백트래킹(catastrophic backtracking)을 유발하는 조작된 $regex 패턴을 사용하여 LiveQuery를 구독할 수 있으며, 이로 인해 Node.js 이벤트 루프가 차단됩니다. 이로 인해 전체 Parse Server가 응답하지 않게 되어 모든 클라이언트에 영향을 미칩니다. LiveQuery가 활성화된 모든 Parse Server 배포가 영향을 받습니다. 공격자는 클라이언트 측 앱에서 공개적으로 알려진 애플리케이션 ID와 JavaScript 키만 필요로 합니다. 이 취약점은 JavaScript에서 정규식을 평가하는 LiveQuery 구독 매칭에만 영향을 미치며, Node.js 이벤트 루프에서 실행됩니다. 정규식이 데이터베이스 엔진에 의해 평가되는 일반 REST 및 GraphQL 쿼리는 영향을 받지 않습니다. 이 취약점은 9.5.0-alpha.14 및 8.6.11에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.