Plattform
nodejs
Komponente
parse-server
Behoben in
9.0.1
7.0.1
9.8.0-alpha.7
CVE-2026-39381 is an information disclosure vulnerability affecting Parse Server. An authenticated user can bypass intended security measures by retrieving protected session fields through the /sessions/me endpoint. This vulnerability impacts versions prior to 9.8.0-alpha.7 and is resolved by upgrading to the patched version.
CVE-2026-39381 in Parse Server ermöglicht authentifizierten Benutzern, geschützte Felder ihrer eigenen Sitzung über den Endpoint GET /sessions/me abzurufen. Parse Server erlaubt Serveradministratoren, Felder zu spezifizieren, die als 'geschützt' betrachtet und nicht in API-Antworten angezeigt werden sollen. Dieser spezielle Endpoint erzwingt diese Einschränkungen jedoch nicht korrekt, so dass ein authentifizierter Benutzer sensible Informationen abrufen kann, die eigentlich verborgen sein sollten. Die Endpoints GET /sessions und GET /sessions/:objectId entfernen geschützte Felder korrekt, was darauf hindeutet, dass das Problem spezifisch für die Implementierung des /sessions/me-Endpoints ist. Diese Schwachstelle kann zur Offenlegung persönlicher oder vertraulicher Informationen führen, abhängig von den konfigurierten geschützten Feldern.
Ein authentifizierter Benutzer in Parse Server kann diese Schwachstelle ausnutzen, indem er eine GET-Anfrage an den /sessions/me-Endpoint sendet. Da er bereits authentifiziert ist, sind keine zusätzlichen Anmeldeinformationen erforderlich. Die Schwachstelle liegt in der serverseitigen Logik, die die protectedFields-Einschränkungen für diesen speziellen Endpoint nicht korrekt anwendet. Die Ausnutzung ist relativ einfach und erfordert nur eine gültige HTTP-Anfrage. Die Auswirkungen der Ausnutzung hängen von den spezifischen Feldern ab, die als geschützt konfiguriert sind; wenn diese Felder sensible Informationen enthalten, kann die Ausnutzung erhebliche Folgen haben.
Parse Server deployments utilizing the protectedFields feature to safeguard sensitive session data are at risk. This includes applications relying on Parse Server for backend functionality and those with custom authentication mechanisms where session data security is critical. Shared hosting environments using Parse Server are also potentially at risk, as vulnerabilities in one application could impact others.
• nodejs / server: Monitor Parse Server logs for requests to the /sessions/me endpoint that return protected fields. Use grep to search for patterns indicating unauthorized access to sensitive data.
grep 'protectedFields' /var/log/parse-server/access.log• nodejs / server: Implement a custom audit log to track access to the /sessions/me endpoint and specifically monitor for attempts to retrieve protected fields.
• generic web: Use curl to test the /sessions/me endpoint with an authenticated user and verify that protected fields are masked as expected.
curl -H "Authorization: Bearer <your_auth_token>" http://your-parse-server/sessions/medisclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die Behebung von CVE-2026-39381 besteht darin, Parse Server auf Version 9.8.0-alpha.7 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie die Sitzung nach der Sitzungsvalidierung mit dem Authentifizierungskontext des Aufrufers erneut abruft. Es wird dringend empfohlen, so schnell wie möglich zu aktualisieren, um unbefugten Zugriff auf sensible Daten zu verhindern. Wenn ein sofortiges Update nicht möglich ist, bewerten Sie das Risiko und ziehen Sie alternative Maßnahmen zur Risikominderung in Betracht, obwohl ein Update die sicherste Lösung ist. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten im Zusammenhang mit dem /sessions/me-Endpoint kann ebenfalls dazu beitragen, potenzielle Exploitationsversuche zu erkennen.
Actualice Parse Server a la versión 9.8.0-alpha.7 o superior, o a la versión 8.6.75 o superior. Esta actualización corrige la vulnerabilidad al asegurar que los campos protegidos no se expongan a través del endpoint /sessions/me.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
‘ProtectedFields’ sind Felder innerhalb eines _Session-Objekts, die der Serveradministrator so konfiguriert hat, dass sie nicht in API-Antworten angezeigt werden. Dies ermöglicht die Kontrolle darüber, welche sensiblen Informationen mit Clients geteilt werden.
Die Schwachstelle ist auf einen spezifischen Fehler in der Implementierung des /sessions/me-Endpoints zurückzuführen. Andere Sitzungsbezogene Endpoints (/sessions und /sessions/:objectId) implementieren den Feldschutz korrekt.
Wenn Sie nicht sofort aktualisieren können, bewerten Sie das Risiko und überwachen Sie die Serverprotokolle auf verdächtige Aktivitäten. Ein Update ist jedoch die sicherste Lösung.
Nein, die Schwachstelle kann von einem authentifizierten Benutzer ausgenutzt werden und erfordert keinen Root- oder Administratorzugriff.
Überwachen Sie die Serverprotokolle auf ungewöhnliche Anfragen an den /sessions/me-Endpoint und auf unerwarteten Zugriff auf Daten, die geschützt sein sollten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.