CVE-2026-61448 in parse-server
요약
\~에 의해 VulDB • 2026. 07. 11.
Parse Server는 버전 >= 9.0.0, < 9.10.0-alpha.2 및 <= 8.6.83에서 저장형 크로스 사이트 스크립팅(XSS) 취약점의 영향을 받습니다. 업로드된 파일의 확장자가 mime 패키지로 인식되지 않을 경우, Parse Server는 클라이언트가 제공한 Content-Type을 그대로 유지합니다. 유효한 미디어 타입/서브타입(예: 'image', 'image/', 또는 'image//svg+xml')이 아닌 잘못된 형식의 Content-Type은 fileUpload.fileExtensions 차단 목록을 우회하여 변경 없이 저장됩니다. 업로드된 Content-Type을 영구적으로 보관하고 제공하도록 구성된 스토리지 어댑터(Amazon S3, Google Cloud Storage, Azure Blob Storage 등)의 경우, 브라우저는 잘못된 값을 구문 분석하지 못하고 MIME 스니핑으로 폴백합니다. 이때 본문이 HTML로 시작하는 파일은 HTML로 렌더링되어 다른 사용자가 해당 파일 URL을 열 때 애플리케이션의 컨텍스트에서 임베드된 스크립트가 실행됩니다. 기본 GridFS 스토리지 어댑터는 영향을 받지 않습니다. 이 문제는 9.10.0-alpha.2 및 8.6.84에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.