Plataforma
nodejs
Componente
parse-server
Corregido en
8.6.53
9.0.1
9.6.0-alpha.41
La vulnerabilidad CVE-2026-33409 representa un bypass de autenticación en Parse Server. Esto permite a un atacante, conociendo el ID del proveedor de autenticación de un usuario, iniciar sesión en la cuenta de ese usuario sin necesidad de sus credenciales. Esta vulnerabilidad afecta a las implementaciones de Parse Server donde la opción allowExpiredAuthDataToken está configurada como true. Se recomienda actualizar a la versión 9.6.0-alpha.41 para mitigar el riesgo.
El impacto de esta vulnerabilidad es significativo, ya que permite a un atacante obtener acceso completo a la cuenta de un usuario de Parse Server. Esto incluye la capacidad de leer y modificar datos asociados a la cuenta, ejecutar código en el servidor Parse (dependiendo de los permisos del usuario) y potencialmente realizar acciones en nombre del usuario. La facilidad de explotación, al solo requerir el ID del proveedor de autenticación, aumenta el riesgo de ataques masivos. Un atacante podría, por ejemplo, obtener acceso a datos sensibles almacenados en Parse Server, como información de usuario, contenido multimedia o datos de aplicaciones. La falta de autenticación adecuada podría comprometer la integridad y confidencialidad de la información almacenada.
La vulnerabilidad fue publicada el 19 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza del bypass de autenticación sugiere una alta probabilidad de explotación si se divulga un PoC. La facilidad de explotación, combinada con la prevalencia de Parse Server en diversas aplicaciones, la convierte en un objetivo atractivo para los atacantes.
Parse Server deployments utilizing third-party authentication providers and specifically configured with allowExpiredAuthDataToken set to true are at significant risk. This includes applications relying on Parse Server for backend services and those with legacy configurations that haven't been updated to the latest security standards.
• nodejs / server:
grep -r 'allowExpiredAuthDataToken: true' /opt/parse-server/config.js• nodejs / server:
ps aux | grep -i parse-server | grep 'allowExpiredAuthDataToken=true'• generic web: Review Parse Server access logs for unusual login patterns or attempts using unexpected provider IDs.
disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar Parse Server a la versión 9.6.0-alpha.41 o superior. Esta versión corrige la vulnerabilidad al validar siempre los proveedores de autenticación durante el inicio de sesión, independientemente de la configuración de allowExpiredAuthDataToken. Si la actualización inmediata no es posible, deshabilitar la opción allowExpiredAuthDataToken puede reducir el riesgo, aunque esto podría afectar la funcionalidad de inicio de sesión con proveedores externos. Monitorear los logs de Parse Server en busca de intentos de inicio de sesión sospechosos también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirmar la corrección verificando que el inicio de sesión con proveedores externos funcione correctamente y que la opción allowExpiredAuthDataToken ya no tenga efecto en la validación.
Actualice Parse Server a la versión 8.6.52 o superior, o a la versión 9.6.0-alpha.41 o superior. Si no puede actualizar inmediatamente, asegúrese de que la opción del servidor `allowExpiredAuthDataToken` esté configurada en `false` (este es el valor predeterminado).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33409 is a critical vulnerability in Parse Server allowing attackers to log in as users with linked third-party authentication providers without their credentials.
You are affected if you are using Parse Server versions prior to 9.6.0-alpha.41 and have the allowExpiredAuthDataToken server option set to true.
Upgrade Parse Server to version 9.6.0-alpha.41 or later. Alternatively, disable the allowExpiredAuthDataToken option if upgrading is not immediately possible.
While no public exploit is currently available, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the official Parse Server documentation and security advisories for the most up-to-date information: [https://parse.com/docs/security](https://parse.com/docs/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.