CVE-2026-32098 in parse-serverИнформация

Сводка

по VulDB • 05.06.2026

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. Версии до 9.6.0-alpha.9 и 8.6.35 уязвимы к проблеме, при которой злоумышленник может использовать подписки LiveQuery для вывода значений защищенных полей без их прямого получения. Подписываясь с использованием условия WHERE, ссылающегося на защищенное поле (в том числе через точечную нотацию или оператор $regex), злоумышленник может наблюдать, доставляются ли события LiveQuery для совпадающих объектов. Это создает булевский оракул, утечка данных из которого позволяет узнать значения защищенных полей. Уязвимость затрагивает любые классы, в которых одновременно настроены защищенные поля (protectedFields) в разрешениях на уровне класса (Class-Level Permissions) и включен LiveQuery. Уязвимость исправлена в версиях 9.6.0-alpha.9 и 8.6.35.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

10.03.2026

Раскрытие

11.03.2026

Модерация

принято

Вход

VDB-350562

CPE

готов

CWE

CWE-200 (Подтверждённый)

CVSS

7.5 (NVD)

EPSS

0.00052

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-32098
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-32098
CVE Details	https://www.cvedetails.com/cve/CVE-2026-32098/

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!