Plataforma
nodejs
Componente
parse-server
Corregido en
8.6.11
9.5.1
8.6.11
9.5.1
9.5.0-alpha.11
La vulnerabilidad CVE-2026-30863 afecta a Parse Server, una plataforma de backend como servicio (BaaS). Permite un bypass de la autenticación, permitiendo a un atacante autenticarse como cualquier usuario en el sistema. Esta falla se debe a una configuración incorrecta en los adaptadores de autenticación de Google, Apple y Facebook, específicamente la ausencia de la configuración del clientId o appIds. La solución es actualizar a la versión 9.5.0-alpha.11 o superior.
El impacto de esta vulnerabilidad es significativo. Un atacante puede explotarla para obtener acceso no autorizado a cuentas de usuario en Parse Server. Al omitir la validación de la audiencia (audience claim) en los tokens JWT, un atacante puede reutilizar tokens válidos emitidos para otras aplicaciones, esencialmente 'suplantando' la identidad de cualquier usuario. Esto podría resultar en robo de datos, modificación de información del usuario, o incluso control total sobre la aplicación Parse Server. La falta de validación de la audiencia es un error crítico que debe ser abordado inmediatamente, ya que permite una escalada de privilegios significativa.
La vulnerabilidad fue publicada el 9 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad (bypass de autenticación) la convierte en un objetivo atractivo para actores maliciosos. La falta de validación de la audiencia en JWTs es un patrón de error común que ha sido explotado en el pasado, lo que aumenta la probabilidad de que esta vulnerabilidad sea explotada.
Organizations utilizing Parse Server for backend services, particularly those relying on Google, Apple, or Facebook authentication, are at risk. Deployments with misconfigured authentication adapters, especially those in production environments, are particularly vulnerable. Shared hosting environments where Parse Server instances may be configured by multiple users also face increased risk.
• nodejs / server:
# Check Parse Server configuration files for missing clientId/appIds
grep -r 'clientId' /path/to/parse-server/config.yml
grep -r 'appIds' /path/to/parse-server/config.yml• generic web:
# Monitor access logs for JWT requests with unusual origins or missing audience claims
curl -I <parse-server-url>/parse/login | grep 'Audience:'disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
La mitigación principal para CVE-2026-30863 es actualizar Parse Server a la versión 9.5.0-alpha.11 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda configurar correctamente el clientId para Google y Apple, y appIds para Facebook en los adaptadores de autenticación. Esto fuerza la validación de la audiencia y previene la explotación. Como medida adicional, revise los registros de autenticación en busca de intentos sospechosos de autenticación con tokens JWT de fuentes desconocidas. Después de la actualización, confirme la correcta validación de la audiencia revisando los logs de autenticación y verificando que los tokens JWT presenten la audiencia esperada.
Actualice Parse Server a la versión 8.6.10 o superior, o a la versión 9.5.0-alpha.11 o superior. Esto corrige la validación JWT en los adaptadores de autenticación de Google, Apple y Facebook.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-30863 is a critical vulnerability in Parse Server where misconfigured authentication adapters allow attackers to bypass JWT verification and authenticate as any user.
If you are using Parse Server versions prior to 9.5.0-alpha.11 and have not properly configured the clientId or appIds for your authentication adapters, you are likely affected.
Upgrade Parse Server to version 9.5.0-alpha.11 or later. Ensure the clientId (Google/Apple) and appIds (Facebook) options are correctly configured in your authentication adapter settings.
While no active exploitation has been confirmed, the ease of exploitation makes it a high-probability vulnerability and warrants immediate action.
Refer to the official Parse Server security advisory for details and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](replace with actual advisory link)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.