CVE-2026-34784 in parse-server
Tóm tắt
Bởi VulDB • 20/05/2026
Parse Server là một backend mã nguồn mở có thể được triển khai trên bất kỳ cơ sở hạ tầng nào hỗ trợ chạy Node.js. Trước các phiên bản 8.6.71 và 9.7.1-alpha.1, việc tải xuống tệp tin thông qua các yêu cầu HTTP Range đã bỏ qua trigger afterFind(Parse.File) và các trình xác thực của nó trên các bộ điều hợp lưu trữ hỗ trợ streaming (ví dụ: bộ điều hợp GridFS mặc định). Điều này cho phép truy cập vào các tệp tin vốn lẽ ra phải được bảo vệ bởi logic xác thực trigger afterFind hoặc các trình xác thực tích hợp sẵn như requireUser. Vấn đề này đã được vá trong các phiên bản 8.6.71 và 9.7.1-alpha.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.