CVE-2026-34215 Parseplatform — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	8,2 (HIGH)
Уязвимые версии	9.0.0 — 9.7.0
Устранено в версии	8.6.63
Тип уязвимости	CWE-200 (Раскрытие информации)
Поставщик	Parseplatform
Публичный эксплойт	Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.63 и 9.7.0-alpha.7 конечная точка проверки пароля возвращает необработанные данные аутентификации, включая секреты MFA TOTP, коды восстановления и токены доступа OAuth. Злоумышленник, знающий пароль пользователя, может извлечь секрет MFA для создания действительных кодов MFA, обойдя защиту многофакторной аутентификации.

Эта проблема исправлена в версиях 8.6.63 и 9.7.0-alpha.7.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.63 and 9.7.0-alpha.7, the verify password endpoint returns unsanitized authentication data, including MFA TOTP secrets, recovery codes, and OAuth access tokens. An attacker who knows a user's password can extract the MFA secret to generate valid MFA codes, defeating multi-factor authentication protection. This issue has been patched in versions 8.6.63 and 9.7.0-alpha.7.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Нет

Нет модификации данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 8

Конфигурация	От (включительно)	До (исключительно)
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	—	`8.6.63`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	`9.0.0`	`9.7.0`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha1::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha2::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha3::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha4::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha5::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha6::::node.js::*	—	—