anonhaven

CVE-2026-31871

CRITICAL CVSS 4.0: 9,3 EPSS 0.04%
Обновлено 13 марта 2026
PostgreSQL
Параметр Значение
CVSS 9,3 (CRITICAL)
Уязвимые версии 9.0.0 — 9.6.0
Устранено в версии 9.6.0
Тип уязвимости CWE-89 (SQL-инъекция)
Поставщик PostgreSQL
Публичный эксплойт Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.5 и 8.6.31 в адаптере хранилища PostgreSQL существовала уязвимость, связанная с внедрением SQL-кода, при обработке операций приращения над полями вложенных объектов с использованием точечной записи (например, stats.counter). Имя подраздела интерполируется непосредственно в строковые литералы SQL без экранирования.

Злоумышленник, который может отправлять запросы на запись в REST API сервера синтаксического анализа, может внедрить произвольный SQL-код через созданное имя подключа, содержащее одинарные кавычки, потенциально выполняя команды или считывая данные из базы данных, минуя CLP и ACL. Это касается только развертываний Postgres. Эта уязвимость исправлена ​​в версиях 9.6.0-alpha.5 и 8.6.31.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.5 and 8.6.31, a SQL injection vulnerability exists in the PostgreSQL storage adapter when processing Increment operations on nested object fields using dot notation (e.g., stats.counter). The sub-key name is interpolated directly into SQL string literals without escaping. An attacker who can send write requests to the Parse Server REST API can inject arbitrary SQL via a crafted sub-key name containing single quotes, potentially executing commands or reading data from the database, bypassing CLPs and ACLs. Only Postgres deployments are affected. This vulnerability is fixed in 9.6.0-alpha.5 and 8.6.31.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-89 SQL Injection (SQL-инъекция)

Уязвимые продукты 6

Конфигурация От (включительно) До (исключительно)
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 8.6.31
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 9.0.0 9.6.0
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4:*:*:*:node.js:*:*

Ссылки 3

https://github.com/parse-community/parse-server/releases/tag/8.6.31
security-advisories@github.com
https://github.com/parse-community/parse-server/releases/tag/9.6.0-alpha.5
security-advisories@github.com
https://github.com/parse-community/parse-server/security/advisories/GHSA-gqpp-x…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34612

PostgreSQL

9,9

CVE-2026-34455

PostgreSQL

8,7

CVE-2026-32286

PostgreSQL

7,5

CVE-2026-33713

N8N

8,7

CVE-2026-32950

PostgreSQL

8,6