CVE-2026-61448 in parse-server
Sumário
de VulDB • 11/07/2026
O Parse Server é afetado por uma vulnerabilidade de cross-site scripting (XSS) armazenada nas versões >= 9.0.0, < 9.10.0-alpha.2 e <= 8.6.83. Quando a extensão de um arquivo enviado não é reconhecida pelo pacote mime, o Parse Server preserva o Content-Type fornecido pelo cliente. Um Content-Type malformado que não seja um tipo/subtipo MIME válido (por exemplo, 'image', 'image/', ou 'image//svg+xml') contorna a lista negra fileUpload.fileExtensions e é armazenado sem alterações. Em adaptadores de armazenamento que persistem e servem o Content-Type enviado (como Amazon S3, Google Cloud Storage ou Azure Blob Storage), um navegador não consegue analisar o valor malformado e recorre ao MIME-sniffing; um arquivo cujo corpo começa com HTML é renderizado como HTML, executando scripts embutidos na origem da aplicação contra outros usuários que abrem a URL do arquivo. O adaptador de armazenamento GridFS padrão não é afetado. Corrigido nas versões 9.10.0-alpha.2 e 8.6.84.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.