CVE-2026-31875 Parseplatform — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	8,2 (HIGH)
Уязвимые версии	9.0.0 — 9.6.0
Устранено в версии	9.6.0
Тип уязвимости	CWE-672
Поставщик	Parseplatform
Публичный эксплойт	Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.7 и 8.6.33, когда для учетной записи пользователя включена многофакторная аутентификация (MFA) через TOTP, Parse Server генерирует два одноразовых кода восстановления. Эти коды предназначены в качестве запасного варианта, когда пользователь не может предоставить токен TOTP.

Однако коды восстановления не расходуются после использования, что позволяет использовать один и тот же код восстановления неограниченное количество раз. Это противоречит одноразовому дизайну кодов восстановления и ослабляет безопасность учетных записей, защищенных MFA. Злоумышленник, получивший один код восстановления, может неоднократно аутентифицироваться как затронутый пользователь, при этом код никогда не будет признан недействительным.

Эта уязвимость исправлена в версиях 9.6.0-alpha.7 и 8.6.33.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.7 and 8.6.33, when multi-factor authentication (MFA) via TOTP is enabled for a user account, Parse Server generates two single-use recovery codes. These codes are intended as a fallback when the user cannot provide a TOTP token. However, recovery codes are not consumed after use, allowing the same recovery code to be used an unlimited number of times. This defeats the single-use design of recovery codes and weakens the security of MFA-protected accounts. An attacker who obtains a single recovery code can repeatedly authenticate as the affected user without the code ever being invalidated. This vulnerability is fixed in 9.6.0-alpha.7 and 8.6.33.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Условия для атаки

Требуются

Нужны дополнительные условия

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-672

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	—	`8.6.33`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	`9.0.0`	`9.6.0`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha6::::node.js::*	—	—