Plataforma
nodejs
Componente
parse-server
Corregido en
8.6.9
9.5.1
8.6.9
9.5.1
8.6.8
La vulnerabilidad CVE-2026-30848 es un fallo de Path Traversal descubierto en Parse Server. Esta falla permite a atacantes no autenticados acceder a archivos fuera del directorio pagesPath configurado, comprometiendo la confidencialidad de los datos. Afecta a las versiones de Parse Server anteriores a la 8.6.8 y requiere que la función 'pages' esté habilitada (pages.enableRouter: true). La solución recomendada es actualizar a la versión 8.6.8.
Un atacante puede explotar esta vulnerabilidad para leer archivos confidenciales ubicados fuera del directorio pagesPath. Esto podría incluir archivos de configuración, claves API, o incluso código fuente. La severidad del impacto depende de la sensibilidad de los archivos accesibles y de la configuración del servidor. La vulnerabilidad se aprovecha de una comparación de prefijos de cadenas en la ruta del archivo, sin una verificación adecuada de los separadores de directorio. Esto permite a un atacante construir rutas que apuntan a archivos en directorios hermanos cuyo nombre comience con el mismo prefijo que el directorio pages (por ejemplo, pages-secret).
Esta vulnerabilidad fue publicada el 9 de marzo de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de Path Traversal la convierte en un objetivo atractivo para atacantes. La probabilidad de explotación se considera media, dada la relativa facilidad de identificación y explotación de este tipo de vulnerabilidades. No se ha añadido a KEV a la fecha.
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Parse Server a la versión 8.6.8 o superior, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar la función 'pages' (pages.enableRouter: false) para evitar la exposición de la ruta vulnerable. Como medida adicional, se puede implementar un Web Application Firewall (WAF) para bloquear solicitudes con patrones de Path Traversal. Monitorear los logs del servidor en busca de accesos inusuales a archivos fuera del directorio pagesPath también puede ayudar a detectar intentos de explotación.
Actualice Parse Server a la versión 8.6.8 o superior, o a la versión 9.5.0-alpha.8 o superior. Esto corrige la vulnerabilidad de recorrido de ruta en el PagesRouter.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-30848 is a Path Traversal vulnerability in Parse Server affecting versions before 8.6.8. It allows unauthenticated attackers to read files outside the configured pagesPath directory, potentially exposing sensitive data.
You are affected if you are using Parse Server with the pages feature enabled and running a version prior to 8.6.8. Check your version using parse-server --version.
Upgrade to Parse Server version 8.6.8 or later. If immediate upgrade isn't possible, implement stricter path validation within the PagesRouter route.
There are currently no public reports or indications of active exploitation campaigns targeting CVE-2026-30848.
Refer to the official Parse Server documentation and security advisories for the most up-to-date information regarding CVE-2026-30848.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.