anonhaven

CVE-2026-31872

HIGH CVSS 4.0: 8,7 EPSS 0.04%
Обновлено 13 марта 2026
Oracle
Параметр Значение
CVSS 8,7 (HIGH)
Уязвимые версии 9.0.0 — 9.6.0
Устранено в версии 9.6.0
Тип уязвимости CWE-284 (Неправильный контроль доступа)
Поставщик Oracle
Публичный эксплойт Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.6 и 8.6.32 разрешение уровня класса protectedFields (CLP) можно обойти с помощью точечной нотации в предложениях WHERE запроса и параметрах сортировки. Злоумышленник может использовать точечную нотацию для запроса или сортировки по подполям защищенного поля, что позволяет атаковать двоичный оракул для перечисления значений защищенного поля.

Это влияет как на развертывания MongoDB, так и на PostgreSQL. Эта уязвимость исправлена ​​в версиях 9.6.0-alpha.6 и 8.6.32.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.6 and 8.6.32, the protectedFields class-level permission (CLP) can be bypassed using dot-notation in query WHERE clauses and sort parameters. An attacker can use dot-notation to query or sort by sub-fields of a protected field, enabling a binary oracle attack to enumerate protected field values. This affects both MongoDB and PostgreSQL deployments. This vulnerability is fixed in 9.6.0-alpha.6 and 8.6.32.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-284 Improper Access Control (Неправильный контроль доступа)

Уязвимые продукты 7

Конфигурация От (включительно) До (исключительно)
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 8.6.32
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 9.0.0 9.6.0
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5:*:*:*:node.js:*:*

Ссылки 3

https://github.com/parse-community/parse-server/releases/tag/8.6.32
security-advisories@github.com
https://github.com/parse-community/parse-server/releases/tag/9.6.0-alpha.6
security-advisories@github.com
https://github.com/parse-community/parse-server/security/advisories/GHSA-r2m8-p…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-21994

Oracle

9,8

CVE-2026-4258

Oracle

7,7

CVE-2026-28490

Oracle

8,3

CVE-2026-3968

Oracle

5,3

CVE-2026-32111

Homeassistant-Ai

5,3