anonhaven

CVE-2026-35200

LOW CVSS 4.0: 2,1 EPSS 0.03%
Обновлено 7 апреля 2026
Parseplatform
Параметр Значение
CVSS 2,1 (LOW)
Уязвимые версии 9.0.0 — 9.7.1
Устранено в версии 8.6.73
Тип уязвимости CWE-436
Поставщик Parseplatform
Публичный эксплойт Нет

Parse Server — это серверная часть с открытым исходным кодом, которую можно развернуть в любой инфраструктуре, поддерживающей Node.js. До версий 8.6.73 и 9.7.1-alpha.4 файл можно было загрузить с расширением имени файла, которое соответствует списку разрешенных расширений файлов (например, .txt), но с заголовком Content-Type, который отличается от расширения (например, text/html). Content-Type передается адаптеру хранилища без проверки согласованности.

Адаптеры хранилища, которые хранят и обслуживают предоставленный тип контента (например, S3 или GCS), обслуживают файл с несовпадающим типом контента. Адаптер GridFS по умолчанию не затрагивается, поскольку он получает Content-Type из имени файла во время обслуживания. Эта уязвимость исправлена ​​в версиях 8.6.73 и 9.7.1-alpha.4.

Показать оригинальное описание (EN)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 8.6.73 and 9.7.1-alpha.4, a file can be uploaded with a filename extension that passes the file extension allowlist (e.g., .txt) but with a Content-Type header that differs from the extension (e.g., text/html). The Content-Type is passed to the storage adapter without consistency validation. Storage adapters that store and serve the provided Content-Type (such as S3 or GCS) serve the file with the mismatched Content-Type. The default GridFS adapter is not affected because it derives Content-Type from the filename at serving time. This vulnerability is fixed in 8.6.73 and 9.7.1-alpha.4.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Пассивное
Минимальное взаимодействие

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-436

Уязвимые продукты 5

Конфигурация От (включительно) До (исключительно)
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 8.6.73
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:*
 9.0.0 9.7.1
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.7.1:alpha1:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.7.1:alpha2:*:*:*:node.js:*:*
Parseplatform Parse-Server
cpe:2.3:a:parseplatform:parse-server:9.7.1:alpha3:*:*:*:node.js:*:*

Ссылки 3

https://github.com/parse-community/parse-server/pull/10383
security-advisories@github.com
https://github.com/parse-community/parse-server/pull/10384
security-advisories@github.com
https://github.com/parse-community/parse-server/security/advisories/GHSA-vr5f-2…
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34215

Parseplatform

8,2

CVE-2026-34574

Parse-Community

5,3

CVE-2026-34573

Parse-Community

8,2

CVE-2026-34595

Oracle

5,3

CVE-2026-34532

Parseplatform

9,1