CVE-2026-34784 in parse-serverthông tin

Tóm tắt

Bởi VulDB • 20/05/2026

Parse Server là một backend mã nguồn mở có thể được triển khai trên bất kỳ cơ sở hạ tầng nào hỗ trợ chạy Node.js. Trước các phiên bản 8.6.71 và 9.7.1-alpha.1, việc tải xuống tệp tin thông qua các yêu cầu HTTP Range đã bỏ qua trigger afterFind(Parse.File) và các trình xác thực của nó trên các bộ điều hợp lưu trữ hỗ trợ streaming (ví dụ: bộ điều hợp GridFS mặc định). Điều này cho phép truy cập vào các tệp tin vốn lẽ ra phải được bảo vệ bởi logic xác thực trigger afterFind hoặc các trình xác thực tích hợp sẵn như requireUser. Vấn đề này đã được vá trong các phiên bản 8.6.71 và 9.7.1-alpha.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

GitHub M

Đặt trước

30/03/2026

Tiết lộ

31/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00378

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!