Plateforme
nodejs
Composant
parse-server
Corrigé dans
9.0.1
8.6.29
8.6.29
9.6.1
9.6.0-alpha.2
Une vulnérabilité de type SQL Injection a été découverte dans Parse Server, permettant à un attaquant d'injecter du code SQL malveillant dans la base de données PostgreSQL. Cette faille est due à un échappement incorrect des valeurs de sous-champs dans les requêtes utilisant une notation point. Les versions antérieures à 9.6.0-alpha.2 sont concernées, et une correction a été déployée.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter des requêtes SQL arbitraires sur la base de données PostgreSQL de Parse Server. Cela peut conduire à la divulgation, à la modification ou à la suppression de données sensibles stockées dans la base de données, telles que les informations des utilisateurs, les données d'application et les configurations. L'attaquant pourrait également potentiellement obtenir un accès non autorisé au serveur sous-jacent, en fonction des privilèges de l'utilisateur de la base de données. La nature critique de cette vulnérabilité, combinée à la popularité de Parse Server, en fait une cible attrayante pour les acteurs malveillants.
Cette vulnérabilité a été rendue publique le 2026-03-10. Il n'y a pas d'indications d'une exploitation active à ce jour, mais la sévérité élevée de la vulnérabilité et la disponibilité d'une correction suggèrent qu'elle pourrait devenir une cible pour les acteurs malveillants. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter toute activité suspecte.
Organizations and developers utilizing Parse Server with PostgreSQL databases are at risk. This includes applications relying on Parse Server for backend functionality, particularly those handling sensitive user data or financial transactions. Those using older, unpatched versions of Parse Server are especially vulnerable.
• nodejs / server:
grep -r "parse-server" /path/to/parse-server-installation• nodejs / server:
ps aux | grep parse-server | grep -i postgres• generic web:
Inspect Parse Server API endpoints for the presence of sort parameters with dot-notation field names. Attempt to inject SQL syntax within these parameters to observe any unexpected behavior or error messages.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
La mitigation principale consiste à mettre à jour Parse Server vers la version 9.6.0-alpha.2 ou ultérieure, qui inclut une correction pour cette vulnérabilité. En l'absence de possibilité de mise à jour immédiate, il n'existe actuellement aucune solution de contournement connue. Il est fortement recommandé de surveiller attentivement les journaux d'accès et d'erreurs de Parse Server pour détecter toute activité suspecte. Après la mise à jour, vérifiez l'intégrité de la base de données en exécutant une requête de test pour vous assurer que l'injection SQL est correctement empêchée.
Mettez à jour Parse Server à la version 9.6.0-alpha.2 ou supérieure, ou à la version 8.6.28 ou supérieure. Cela corrige la vulnérabilité d'injection SQL dans la base de données PostgreSQL en échappant correctement les valeurs de sous-champ dans les requêtes avec notation de points.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31840 is a critical SQL Injection vulnerability affecting Parse Server versions prior to 9.6.0-alpha.2. It allows attackers to inject malicious SQL code via dot-notation field names in sort queries, potentially compromising the PostgreSQL database.
You are affected if you are using Parse Server versions prior to 9.6.0-alpha.2 and have a PostgreSQL database configured. Immediately assess your deployment and apply the necessary updates.
Upgrade Parse Server to version 9.6.0-alpha.2 or later. This version includes a fix that properly escapes characters in dot-notation sub-field values, preventing SQL injection.
There is currently no public information indicating that CVE-2026-31840 is being actively exploited, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the Parse Server GitHub repository for the official advisory and release notes: [https://github.com/parse/parse-server](https://github.com/parse/parse-server)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.