Plataforma
nodejs
Componente
parse-dashboard
Corregido en
7.3.1
9.0.0-alpha.8
La vulnerabilidad CVE-2026-27595 afecta a Parse Dashboard, una interfaz de administración para Parse Server. Esta falla de seguridad permite a atacantes no autenticados ejecutar operaciones de base de datos arbitrarias utilizando la clave maestra, comprometiendo la integridad y confidencialidad de los datos almacenados. La vulnerabilidad se encuentra en versiones anteriores a 9.0.0-alpha.8, y la solución implica eliminar la configuración 'agent' o actualizar a la versión corregida.
El impacto de esta vulnerabilidad es severo, ya que permite a un atacante no autenticado acceder y manipular directamente la base de datos de Parse Server. Esto podría resultar en la lectura, modificación o eliminación de datos sensibles, incluyendo información de usuarios, contenido de aplicaciones y configuraciones del servidor. La capacidad de ejecutar operaciones de base de datos arbitrarias con la clave maestra otorga al atacante un control casi total sobre el sistema. Un ataque exitoso podría comprometer la disponibilidad del servicio, la integridad de los datos y la confidencialidad de la información, similar a una brecha de seguridad de datos tradicional. La falta de autenticación en el API endpoint facilita enormemente la explotación, ya que no requiere credenciales previas.
Esta vulnerabilidad fue publicada el 25 de febrero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación, pero la severidad crítica (CVSS 9.5) indica una alta probabilidad de explotación. La falta de autenticación en un endpoint crítico facilita la explotación, y la disponibilidad de la clave maestra amplifica el impacto. Se recomienda monitorear activamente la situación y aplicar la mitigación lo antes posible. No se han reportado campañas de explotación activas conocidas al momento de la publicación.
Organizations and developers using Parse Dashboard to manage their Parse Server instances are at risk, particularly those running versions prior to 9.0.0-alpha.8. Shared hosting environments where multiple Parse Servers share the same infrastructure are especially vulnerable, as a compromise of one instance could potentially lead to the compromise of others.
• nodejs / server:
grep -r 'apps/:appId/agent' /opt/parse-dashboard/config.json• nodejs / server:
ps aux | grep 'parse-dashboard' | grep '/apps/:appId/agent'• generic web:
Check Parse Dashboard configuration files for the presence of the agent configuration block. Review access logs for unusual activity targeting the /apps/:appId/agent endpoint.
disclosure
Estado del Exploit
EPSS
0.05% (15% percentil)
CISA SSVC
La mitigación principal para CVE-2026-27595 es actualizar Parse Dashboard a la versión 9.0.0-alpha.8 o superior, que incluye la autenticación middleware necesaria. Si la actualización no es inmediatamente posible, una solución temporal es eliminar el bloque de configuración 'agent' de la configuración del dashboard. Esto deshabilitará la funcionalidad del agente, pero también eliminará la vulnerabilidad. Para la detección, monitorear los logs de Parse Server en busca de solicitudes no autorizadas al endpoint /apps/:appId/agent puede ser útil. Implementar reglas de firewall para restringir el acceso a este endpoint solo a fuentes confiables también puede ayudar a mitigar el riesgo. Después de la actualización, confirme que el endpoint /apps/:appId/agent requiere autenticación.
Actualice Parse Dashboard a la versión 9.0.0-alpha.8 o superior. Como alternativa, elimine o comente el bloque de configuración del agente de su configuración de Parse Dashboard.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27595 is a critical authentication bypass vulnerability in Parse Dashboard allowing unauthenticated access to the Parse Server database. It affects versions before 9.0.0-alpha.8.
You are affected if you are using Parse Dashboard versions prior to 9.0.0-alpha.8 and have the 'agent' configuration block enabled.
Upgrade to Parse Dashboard version 9.0.0-alpha.8 or later. Alternatively, remove the 'agent' configuration block from your dashboard configuration.
There is currently no evidence of active exploitation, but the vulnerability's ease of exploitation warrants immediate attention.
You can find the advisory on the Parse Community GitHub security page: https://github.com/parse-community/parse-dashboard/security/advisories/GHSA-qwc3-h9mg-45
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.