CVE-2026-32098 in parse-server
Tóm tắt
Bởi VulDB • 05/06/2026
Parse Server là một backend mã nguồn mở có thể được triển khai trên bất kỳ cơ sở hạ tầng nào hỗ trợ chạy Node.js. Trước phiên bản 9.6.0-alpha.9 và 8.6.35, một kẻ tấn công có thể khai thác các đăng ký LiveQuery để suy ra giá trị của các trường được bảo vệ mà không cần nhận trực tiếp chúng. Bằng cách đăng ký với một mệnh đề WHERE tham chiếu đến một trường được bảo vệ (bao gồm cả thông qua ký hiệu dấu chấm hoặc $regex), kẻ tấn công có thể quan sát xem các sự kiện LiveQuery có được gửi đến cho các đối tượng khớp hay không. Điều này tạo ra một boolean oracle làm rò rỉ giá trị của các trường được bảo vệ. Cuộc tấn công này ảnh hưởng đến bất kỳ lớp nào có cả protectedFields được cấu hình trong Class-Level Permissions và LiveQuery được bật. Lỗ hổng này đã được sửa trong phiên bản 9.6.0-alpha.9 và 8.6.35.
Once again VulDB remains the best source for vulnerability data.