CVE-2026-34532 Parseplatform — эксплойт и детали уязвимости CRITICAL

Параметр	Значение
CVSS	9,1 (CRITICAL)
Уязвимые версии	9.0.0 — 9.7.0
Устранено в версии	8.6.67
Тип уязвимости	CWE-863 (Неправильная авторизация)
Поставщик	Parseplatform
Публичный эксплойт	Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.67 и 9.7.0-alpha.11 злоумышленник мог обойти контроль доступа валидатора облачных функций, добавив «prototype.constructor» к имени функции в URL-адресе. Когда обработчик облачной функции объявлен с использованием ключевого слова function, а его валидатор является простым объектом или стрелочной функцией, обход хранилища триггеров разрешает обработчик через его собственную цепочку прототипов, в то время как хранилище валидаторов не может отразить этот обход, в результате чего все принудительное управление доступом будет пропущено.

Это позволяет вызывающим сторонам, не прошедшим проверку подлинности, вызывать облачные функции, которые должны быть защищены средствами проверки, такими как requireUser, requireMaster или пользовательской логикой проверки. Эта проблема исправлена в версиях 8.6.67 и 9.7.0-alpha.11.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.67 and 9.7.0-alpha.11, an attacker can bypass Cloud Function validator access controls by appending "prototype.constructor" to the function name in the URL. When a Cloud Function handler is declared using the function keyword and its validator is a plain object or arrow function, the trigger store traversal resolves the handler through its own prototype chain while the validator store fails to mirror this traversal, causing all access control enforcement to be skipped. This allows unauthenticated callers to invoke Cloud Functions that are meant to be protected by validators such as requireUser, requireMaster, or custom validation logic. This issue has been patched in versions 8.6.67 and 9.7.0-alpha.11.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Требуются

Нужны дополнительные условия

Нужны права

Не требуются

Права не нужны

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 12

Конфигурация	От (включительно)	До (исключительно)
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	—	`8.6.67`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server::::::node.js::*	`9.0.0`	`9.7.0`
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha1::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha10::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha2::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha3::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha4::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha5::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha6::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha7::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha8::::node.js::*	—	—
Parseplatform Parse-Server cpe:2.3:a:parseplatform:parse-server:9.7.0:alpha9::::node.js::*	—	—