CVE-2026-33163 Parseplatform — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	8,2 (HIGH)
Уязвимые версии	9.0.0 — 9.6.0
Устранено в версии	8.6.50
Тип уязвимости	CWE-200 (Раскрытие информации)
Поставщик	Parseplatform
Публичный эксплойт	Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 9.6.0-alpha.35 и 8.6.50, когда триггер Parse.Cloud.afterLiveQueryEvent регистрируется для класса, сервер LiveQuery передает защищенные поля и authData всем подписчикам этого класса. Поля, настроенные как защищенные с помощью разрешений уровня класса («protectedFields»), включаются в полезные данные событий LiveQuery для всех типов событий (создание, обновление, удаление, вход, выход).

Любой пользователь с достаточными разрешениями CLP для подписки на затронутый класс может получать данные защищенных полей других пользователей, включая конфиденциальную личную информацию и токены OAuth от сторонних поставщиков аутентификации. Уязвимость была вызвана ошибкой отсоединения ссылки. Когда триггер «afterEvent» зарегистрирован, сервер LiveQuery преобразует объект события в «Parse.Object» для триггера, а затем создает новую копию JSON с помощью «toJSONwithObjects()».

Фильтр конфиденциальных данных был применен к ссылке Parse.Object, но нефильтрованная копия JSON была отправлена клиентам. Исправление в версиях 9.6.0-alpha.35 и 8.6.50 гарантирует, что копия JSON будет назначена обратно объекту ответа перед фильтрацией, поэтому фильтр работает с фактическими данными, отправленными клиентам. В качестве обходного пути удалите все регистрации триггеров Parse.Cloud.afterLiveQueryEvent.

Без триггера afterEvent отсоединение ссылки не происходит, и защищенные поля фильтруются правильно.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 9.6.0-alpha.35 and 8.6.50, when a `Parse.Cloud.afterLiveQueryEvent` trigger is registered for a class, the LiveQuery server leaks protected fields and `authData` to all subscribers of that class. Fields configured as protected via Class-Level Permissions (`protectedFields`) are included in LiveQuery event payloads for all event types (create, update, delete, enter, leave). Any user with sufficient CLP permissions to subscribe to the affected class can receive protected field data of other users, including sensitive personal information and OAuth tokens from third-party authentication providers. The vulnerability was caused by a reference detachment bug. When an `afterEvent` trigger is registered, the LiveQuery server converts the event object to a `Parse.Object` for the trigger, then creates a new JSON copy via `toJSONwithObjects()`. The sensitive data filter was applied to the `Parse.Object` reference, but the unfiltered JSON copy was sent to clients. The fix in versions 9.6.0-alpha.35 and 8.6.50 ensures that the JSON copy is assigned back to the response object before filtering, so the filter operates on the actual data sent to clients. As a workaround, remove all `Parse.Cloud.afterLiveQueryEvent` trigger registrations. Without an `afterEvent` trigger, the reference detachment does not occur and protected fields are correctly filtered.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Требуются

Нужны дополнительные условия

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 36

Конфигурация	От (включительно)	До (исключительно)
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	—	`8.6.50`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	`9.0.0`	`9.6.0`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha10::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha11::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha12::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha13::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha14::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha15::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha16::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha17::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha18::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha19::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha20::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha21::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha22::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha23::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha24::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha25::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha26::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha27::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha28::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha29::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha30::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha31::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha32::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha33::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha34::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha6::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha7::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha8::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha9::::node.js::*	—	—