CVE-2026-43930 in parse-serverinformação

Sumário

de VulDB • 20/05/2026

O Parse Server é um backend de código aberto que pode ser implantado em qualquer infraestrutura capaz de executar o Node.js. Antes das versões 8.6.76 e 9.9.0-alpha.2, uma race condition no fluxo de login de senha de uso único (OTP) via SMS do MFA permite que duas solicitações /login concorrentes, contendo o mesmo OTP, sejam bem-sucedidas e recebam tokens de sessão válidos, violando a propriedade de uso único do OTP. A vulnerabilidade exige que o atacante já possua a senha da vítima e intercepte o OTP SMS ativo (por exemplo, por meio de SIM swap, espelhamento de rede ou relay de phishing) e execute a race condition contra a solicitação de login legítima, de modo que a superfície de ataque prática seja restrita. Esta vulnerabilidade foi corrigida nas versões 8.6.76 e 9.9.0-alpha.2.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-363032

CPE

pronto

EPSS

0.00010

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43930
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43930
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43930/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!