CVE-2026-34224 Parseplatform — эксплойт и детали уязвимости LOW

Параметр	Значение
CVSS	2,1 (LOW)
Уязвимые версии	9.0.0 — 9.7.0
Устранено в версии	8.6.64
Тип уязвимости	CWE-367 (Гонка проверки и использования (TOCTOU))
Поставщик	Parseplatform
Публичный эксплойт	Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.64 и 9.7.0-alpha.8 злоумышленник, обладающий действительным токеном поставщика аутентификации и одним кодом восстановления MFA или одноразовым паролем SMS, мог создать несколько сеансов с проверкой подлинности, отправляя одновременные запросы на вход через конечную точку входа authData. Это отменяет гарантию одноразового использования кодов восстановления MFA и одноразовых паролей SMS, позволяя сохранять сеанс даже после того, как законный пользователь отменяет обнаруженные сеансы.

Эта проблема исправлена в версиях 8.6.64 и 9.7.0-alpha.8.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.64 and 9.7.0-alpha.8, an attacker who possesses a valid authentication provider token and a single MFA recovery code or SMS one-time password can create multiple authenticated sessions by sending concurrent login requests via the authData login endpoint. This defeats the single-use guarantee of MFA recovery codes and SMS one-time passwords, allowing session persistence even after the legitimate user revokes detected sessions. This issue has been patched in versions 8.6.64 and 9.7.0-alpha.8.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Высокая

Сложно эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Низкое

Частичная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-367 Time-of-check Time-of-use (TOCTOU) (Гонка проверки и использования (TOCTOU))

Уязвимые продукты 9

Конфигурация	От (включительно)	До (исключительно)
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	—	`8.6.64`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	`9.0.0`	`9.7.0`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha1::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha2::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha3::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha4::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha5::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha6::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha7::::node.js::*	—	—