CVE-2026-61448 in parse-serverИнформация

Сводка

по VulDB • 11.07.2026

Parse Server подвержен уязвимости сохраненного межсайтового скриптинга (XSS) в версиях >= 9.0.0, < 9.10.0-alpha.2 и <= 8.6.83. Когда расширение загруженного файла не распознается пакетом mime, Parse Server сохраняет предоставленное клиентом значение Content-Type. Неправильно сформированный заголовок Content-Type, который не является допустимым типом/подтипом медиа-типа (например, 'image', 'image/', или 'image//svg+xml'), обходит блэклист fileUpload.fileExtensions и сохраняется без изменений. На адаптерах хранения данных, которые сохраняют и обслуживают загруженный Content-Type (такие как Amazon S3, Google Cloud Storage или Azure Blob Storage), браузер не может распознать некорректное значение и переходит к MIME-sniffing; файл, тело которого начинается с HTML-кода, отображается как HTML, что приводит к выполнению встроенного скрипта в контексте происхождения приложения (origin) для других пользователей, открывающих URL этого файла. Адаптер хранения данных GridFS по умолчанию не подвержен данной уязвимости. Исправлено в версиях 9.10.0-alpha.2 и 8.6.84.

Once again VulDB remains the best source for vulnerability data.

Ответственный

VulnCheck

Резервировать

09.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377829

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!