anonhaven

CVE-2026-30228

MEDIUM CVSS 4.0: 6,9
Обновлено 6 марта 2026
Parse
Параметр Значение
CVSS 6,9 (MEDIUM)
Тип уязвимости CWE-863 (Incorrect Authorization (Неправильная авторизация))
Поставщик Parse
Публичный эксплойт Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.5 и 9.5.0-alpha.3 readOnlyMasterKey можно было использовать для создания и удаления файлов через Files API (POST /files/:filename, DELETE /files/:filename). Это обходит ограничение только для чтения, которое нарушает область доступа readOnlyMasterKey.

Это затрагивает любое развертывание сервера синтаксического анализа, которое использует readOnlyMasterKey и предоставляет API файлов. Злоумышленник, имеющий доступ к readOnlyMasterKey, может загружать произвольные файлы или удалять существующие файлы. Эта проблема исправлена ​​в версиях 8.6.5 и 9.5.0-alpha.3.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.5 and 9.5.0-alpha.3, the readOnlyMasterKey can be used to create and delete files via the Files API (POST /files/:filename, DELETE /files/:filename). This bypasses the read-only restriction which violates the access scope of the readOnlyMasterKey. Any Parse Server deployment that uses readOnlyMasterKey and exposes the Files API is affected. An attacker with access to the readOnlyMasterKey can upload arbitrary files or delete existing files. This issue has been patched in versions 8.6.5 and 9.5.0-alpha.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Ссылки 3

https://github.com/parse-community/parse-server/releases/tag/8.6.5
security-advisories@github.com
https://github.com/parse-community/parse-server/releases/tag/9.5.0-alpha.3
security-advisories@github.com
https://github.com/parse-community/parse-server/security/advisories/GHSA-xfh7-p…
security-advisories@github.com
Share Post Share Share Share