CVE-2026-32742 in parse-serverinformação

Sumário

de VulDB • 24/05/2026

O Parse Server é um backend de código aberto que pode ser implantado em qualquer infraestrutura que execute Node.js. Antes das versões 9.6.0-alpha.17 e 8.6.42, um usuário autenticado pode sobrescrever campos de sessão gerados pelo servidor (`sessionToken`, `expiresAt`, `createdWith`) ao criar um objeto de sessão por meio de `POST /classes/_Session`. Isso permite contornar a política de expiração de sessão do servidor ao definir uma data de expiração arbitrária no futuro distante. Também permite definir um valor de token de sessão previsível. A partir das versões 9.6.0-alpha.17 e 8.6.42, o endpoint de criação de sessão filtra os campos gerados pelo servidor a partir dos dados fornecidos pelo usuário, impedindo que sejam sobrescritos. Como medida de contorno, adicione um gatilho `beforeSave` na classe `_Session` para validar e rejeitar ou remover quaisquer valores fornecidos pelo usuário para `sessionToken`, `expiresAt` e `createdWith`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

13/03/2026

Divulgação

19/03/2026

Moderação

aceite

Entrada

VDB-351629

CPE

pronto

EPSS

0.00021

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32742
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32742
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32742/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!