Plataforma
nodejs
Componente
parse-server
Corregido en
9.0.1
8.6.30
8.6.30
9.6.1
9.6.0-alpha.3
Se ha descubierto una vulnerabilidad de inyección SQL en Parse Server, específicamente en el adaptador de almacenamiento PostgreSQL al procesar operaciones Increment en campos de objetos anidados utilizando notación de puntos (por ejemplo, stats.counter). Esta falla permite a un atacante inyectar consultas SQL arbitrarias, comprometiendo la seguridad de los datos. La vulnerabilidad afecta a versiones anteriores a 9.6.0-alpha.3 y se ha publicado el 11 de marzo de 2026, con una solución disponible.
La inyección SQL en Parse Server permite a un atacante con capacidad para enviar solicitudes de escritura a la API REST de Parse Server, leer cualquier dato de la base de datos PostgreSQL. Esto se logra inyectando subconsultas SQL arbitrarias directamente en la consulta, sin validación de tipo ni parametrización del valor amount. La gravedad de esta vulnerabilidad radica en la capacidad de eludir los Controles de Lista de Control de Acceso (CLPs) y las Listas de Control de Acceso (ACLs), lo que significa que un atacante puede acceder a información confidencial independientemente de los permisos configurados. Esta vulnerabilidad es particularmente preocupante en entornos donde Parse Server se utiliza para almacenar datos sensibles de aplicaciones móviles o web.
La vulnerabilidad CVE-2026-31856 fue publicada el 11 de marzo de 2026. Actualmente, no se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la severidad crítica (CVSS 9.5) indica una alta probabilidad de que sea explotada si no se toman medidas correctivas. No se ha añadido a la lista KEV de CISA al momento de la redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and developers using Parse Server for backend-as-a-service (BaaS) applications, particularly those relying on PostgreSQL for data storage, are at risk. Deployments with less stringent input validation or weaker access control policies are especially vulnerable. Shared hosting environments where multiple applications share the same Parse Server instance could also be affected, potentially impacting multiple tenants.
• nodejs / server: Monitor Parse Server logs for unusual SQL query patterns, particularly those involving dot notation in nested object fields. Look for queries containing SQL keywords or functions that are not expected in legitimate Increment operations.
grep -i 'SELECT|INSERT|UPDATE|DELETE' /var/log/parse-server.log• database (postgresql): Review PostgreSQL audit logs for suspicious SQL queries originating from the Parse Server application. Look for queries that bypass access controls or attempt to access sensitive data.
SELECT query FROM pg_stat_activity WHERE datname = 'your_database_name';• generic web: If Parse Server is exposed via a web interface, attempt to send Increment requests with non-numeric values in the amount field and monitor the server's response for error messages or unexpected behavior.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
La solución principal es actualizar Parse Server a la versión 9.6.0-alpha.3 o posterior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar una validación de tipo estricta en el valor amount antes de su uso en la consulta SQL. Esta validación debe rechazar cualquier valor que no sea un número. Además, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) o proxy para filtrar solicitudes sospechosas que contengan patrones de inyección SQL. La parametrización adecuada de las consultas SQL es una práctica fundamental para prevenir este tipo de vulnerabilidades.
Actualice Parse Server a la versión 9.6.0-alpha.3 o superior, o a la versión 8.6.29 o superior. Esto corrige la vulnerabilidad de inyección SQL (SQL Injection) en la operación `Increment` en campos de objetos anidados en PostgreSQL. La actualización previene la ejecución de consultas SQL arbitrarias y el acceso no autorizado a datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-31856 is a critical SQL injection vulnerability affecting Parse Server versions prior to 9.6.0-alpha.3. It allows attackers to inject malicious SQL queries via Increment operations, potentially leading to data breaches.
You are affected if you are running Parse Server versions prior to 9.6.0-alpha.3 and use PostgreSQL as your database. MongoDB deployments are not affected.
Upgrade Parse Server to version 9.6.0-alpha.3 or later. As a temporary workaround, implement stricter input validation on the server-side for the amount parameter.
While no active exploitation has been confirmed, the vulnerability's severity and potential impact suggest a high likelihood of exploitation if a public proof-of-concept is released.
Refer to the official Parse Server security advisory for detailed information and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.