Plateforme
nodejs
Composant
parse-server
Corrigé dans
9.0.1
8.6.30
8.6.30
9.6.1
9.6.0-alpha.3
Une vulnérabilité d'injection SQL a été découverte dans Parse Server, affectant la manière dont les opérations Increment sur les champs d'objets imbriqués sont traitées. Cette faille permet à un attaquant d'injecter des requêtes SQL arbitraires, contournant les contrôles d'accès et les listes de contrôle d'accès (ACL). Les déploiements MongoDB ne sont pas concernés. La version corrigée est 9.6.0-alpha.3.
L'impact de cette vulnérabilité est significatif. Un attaquant capable d'envoyer des requêtes d'écriture à l'API REST de Parse Server peut exploiter cette injection SQL pour lire n'importe quelle donnée stockée dans la base de données PostgreSQL. Cette lecture de données est possible même en contournant les contrôles d'accès (CLP) et les ACLs, ce qui signifie que des informations sensibles, telles que les données utilisateur, les configurations et les données d'application, sont potentiellement exposées. L'attaquant pourrait également potentiellement modifier ou supprimer des données, bien que la description se concentre principalement sur la lecture. Cette vulnérabilité rappelle les risques associés aux injections SQL non paramétrées, où les entrées utilisateur sont directement intégrées dans les requêtes SQL sans validation appropriée.
Cette vulnérabilité a été publiée le 11 mars 2026. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'envoyer des requêtes d'écriture à l'API REST, ce qui peut nécessiter une certaine forme d'authentification ou de contournement de l'authentification. La disponibilité de preuves de concept (PoC) publiques est inconnue à ce jour. Consultez la publication NVD pour plus d'informations.
Organizations and developers using Parse Server for backend-as-a-service (BaaS) applications, particularly those relying on PostgreSQL for data storage, are at risk. Deployments with less stringent input validation or weaker access control policies are especially vulnerable. Shared hosting environments where multiple applications share the same Parse Server instance could also be affected, potentially impacting multiple tenants.
• nodejs / server: Monitor Parse Server logs for unusual SQL query patterns, particularly those involving dot notation in nested object fields. Look for queries containing SQL keywords or functions that are not expected in legitimate Increment operations.
grep -i 'SELECT|INSERT|UPDATE|DELETE' /var/log/parse-server.log• database (postgresql): Review PostgreSQL audit logs for suspicious SQL queries originating from the Parse Server application. Look for queries that bypass access controls or attempt to access sensitive data.
SELECT query FROM pg_stat_activity WHERE datname = 'your_database_name';• generic web: If Parse Server is exposed via a web interface, attempt to send Increment requests with non-numeric values in the amount field and monitor the server's response for error messages or unexpected behavior.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
La mitigation principale consiste à mettre à jour Parse Server vers la version 9.6.0-alpha.3 ou ultérieure, qui inclut une correction pour cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures de contournement peuvent être envisagées. Il est crucial de valider et de nettoyer toutes les entrées utilisateur avant de les utiliser dans les requêtes SQL. L'utilisation de requêtes paramétrées est fortement recommandée pour éviter l'injection SQL. En attendant la mise à jour, une configuration stricte des ACLs et des contrôles d'accès peut aider à limiter l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez l'intégrité de la base de données et assurez-vous que les contrôles d'accès sont correctement configurés.
Mettez à jour Parse Server à la version 9.6.0-alpha.3 ou supérieure, ou à la version 8.6.29 ou supérieure. Cela corrige la vulnérabilité d'injection SQL dans l'opération `Increment` sur les champs d'objets imbriqués dans PostgreSQL. La mise à jour empêche l'exécution de requêtes SQL arbitraires et l'accès non autorisé aux données.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-31856 is a critical SQL injection vulnerability affecting Parse Server versions prior to 9.6.0-alpha.3. It allows attackers to inject malicious SQL queries via Increment operations, potentially leading to data breaches.
You are affected if you are running Parse Server versions prior to 9.6.0-alpha.3 and use PostgreSQL as your database. MongoDB deployments are not affected.
Upgrade Parse Server to version 9.6.0-alpha.3 or later. As a temporary workaround, implement stricter input validation on the server-side for the amount parameter.
While no active exploitation has been confirmed, the vulnerability's severity and potential impact suggest a high likelihood of exploitation if a public proof-of-concept is released.
Refer to the official Parse Server security advisory for detailed information and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.