anonhaven

CVE-2026-31868

MEDIUM CVSS 4.0: 6,3 EPSS 0.06%
Обновлено 13 марта 2026
Parseplatform
Параметр Значение
CVSS 6,3 (MEDIUM)
Уязвимые версии 9.0.0 — 9.6.0
Устранено в версии 9.6.0
Тип уязвимости CWE-79 (Межсайтовый скриптинг (XSS))
Поставщик Parseplatform
Публичный эксплойт Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.4 и 8.6.30 злоумышленник мог загрузить файл с расширением файла или типом контента, который не заблокирован конфигурацией по умолчанию параметра сервера синтаксического анализа fileUpload.fileExtensions. Файл может содержать вредоносный код, например JavaScript в файле SVG или XHTML.

Когда доступ к файлу осуществляется через его URL-адрес, браузер отображает файл и выполняет вредоносный код в контексте домена сервера синтаксического анализа. Это сохраненная уязвимость межсайтового скриптинга (XSS), которую можно использовать для кражи токенов сеанса, перенаправления пользователей или выполнения действий от имени других пользователей. Затронутые расширения файлов и типы контента включают .svgz, .xht, .xml, .xsl, .xslt, а также типы контента application/xhtml+xml и application/xslt+xml для загрузки без расширений.

Загрузка файлов .html, .htm, .shtml, .xhtml и .svg уже заблокирована. Эта уязвимость исправлена ​​в версиях 9.6.0-alpha.4 и 8.6.30.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.4 and 8.6.30, an attacker can upload a file with a file extension or content type that is not blocked by the default configuration of the Parse Server fileUpload.fileExtensions option. The file can contain malicious code, for example JavaScript in an SVG or XHTML file. When the file is accessed via its URL, the browser renders the file and executes the malicious code in the context of the Parse Server domain. This is a stored Cross-Site Scripting (XSS) vulnerability that can be exploited to steal session tokens, redirect users, or perform actions on behalf of other users. Affected file extensions and content types include .svgz, .xht, .xml, .xsl, .xslt, and content types application/xhtml+xml and application/xslt+xml for extensionless uploads. Uploading of .html, .htm, .shtml, .xhtml, and .svg files was already blocked. This vulnerability is fixed in 9.6.0-alpha.4 and 8.6.30.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Активное
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-79 Cross-Site Scripting (XSS) (Межсайтовый скриптинг (XSS))

Уязвимые продукты 5

Конфигурация От (включительно) До (исключительно)
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 8.6.30
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 9.0.0 9.6.0
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:*

Ссылки 3

https://github.com/parse-community/parse-server/releases/tag/8.6.30
security-advisories@github.com
https://github.com/parse-community/parse-server/releases/tag/9.6.0-alpha.4
security-advisories@github.com
https://github.com/parse-community/parse-server/security/advisories/GHSA-v5hf-f…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-35200

Parseplatform

2,1

CVE-2026-34215

Parseplatform

8,2

CVE-2026-34574

Parse-Community

5,3

CVE-2026-34573

Parse-Community

8,2

CVE-2026-34595

Oracle

5,3