Plateforme
nodejs
Composant
parse-server
Corrigé dans
9.0.1
7.0.1
9.8.0-alpha.7
La vulnérabilité CVE-2026-39381 affecte parse-server, permettant à des utilisateurs authentifiés de récupérer des champs de session explicitement marqués comme protégés via l'endpoint /sessions/me. Cette fuite d'informations sensibles peut compromettre la confidentialité des données. La vulnérabilité concerne les versions de parse-server antérieures à la version 9.8.0-alpha.7. Un correctif a été déployé dans la version 9.8.0-alpha.7.
La vulnérabilité CVE-2026-39381 dans Parse Server permet aux utilisateurs authentifiés d'accéder aux champs protégés de leur propre session via l'endpoint GET /sessions/me. Parse Server permet aux opérateurs de serveur de spécifier des champs qui doivent être considérés comme 'protégés' et ne pas être exposés dans les réponses de l'API. Cependant, cet endpoint spécifique n'applique pas correctement ces restrictions, permettant à un utilisateur authentifié de récupérer des informations sensibles qui étaient censées être masquées. Les endpoints GET /sessions et GET /sessions/:objectId suppriment correctement les champs protégés, ce qui indique que le problème est spécifique à l'implémentation de l'endpoint /sessions/me. Cette vulnérabilité peut entraîner l'exposition d'informations personnelles ou confidentielles, en fonction des champs protégés configurés.
Un utilisateur authentifié dans Parse Server peut exploiter cette vulnérabilité en envoyant une requête GET à l'endpoint /sessions/me. Étant donné qu'il est déjà authentifié, aucune information d'identification supplémentaire n'est requise. La vulnérabilité réside dans la logique côté serveur qui n'applique pas correctement les restrictions protectedFields pour cet endpoint spécifique. L'exploitation est relativement simple, ne nécessitant qu'une requête HTTP valide. L'impact de l'exploitation dépend des champs spécifiques configurés comme protégés ; si ces champs contiennent des informations sensibles, l'exploitation peut avoir des conséquences importantes.
Parse Server deployments utilizing the protectedFields feature to safeguard sensitive session data are at risk. This includes applications relying on Parse Server for backend functionality and those with custom authentication mechanisms where session data security is critical. Shared hosting environments using Parse Server are also potentially at risk, as vulnerabilities in one application could impact others.
• nodejs / server: Monitor Parse Server logs for requests to the /sessions/me endpoint that return protected fields. Use grep to search for patterns indicating unauthorized access to sensitive data.
grep 'protectedFields' /var/log/parse-server/access.log• nodejs / server: Implement a custom audit log to track access to the /sessions/me endpoint and specifically monitor for attempts to retrieve protected fields.
• generic web: Use curl to test the /sessions/me endpoint with an authenticated user and verify that protected fields are masked as expected.
curl -H "Authorization: Bearer <your_auth_token>" http://your-parse-server/sessions/medisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La correction pour CVE-2026-39381 consiste à mettre à niveau Parse Server vers la version 9.8.0-alpha.7 ou supérieure. Cette version corrige la vulnérabilité en ré-obtenant la session avec le contexte d'authentification de l'appelant après la validation de la session. Il est fortement recommandé de mettre à niveau dès que possible pour éviter tout accès non autorisé à des données sensibles. Si une mise à niveau immédiate n'est pas possible, évaluez les risques et envisagez des mesures d'atténuation alternatives, bien que la mise à niveau soit la solution la plus sûre. Surveiller les journaux du serveur à la recherche d'activités suspectes liées à l'endpoint /sessions/me peut également aider à détecter d'éventuelles tentatives d'exploitation.
Actualice Parse Server a la versión 9.8.0-alpha.7 o superior, o a la versión 8.6.75 o superior. Esta actualización corrige la vulnerabilidad al asegurar que los campos protegidos no se expongan a través del endpoint /sessions/me.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les 'protectedFields' sont des champs au sein d'un objet _Session que l'opérateur de serveur a configuré pour ne pas être exposés dans les réponses de l'API. Cela permet de contrôler quelles informations sensibles sont partagées avec les clients.
La vulnérabilité est due à une erreur spécifique dans l'implémentation de l'endpoint /sessions/me. Les autres endpoints liés aux sessions (/sessions et /sessions/:objectId) implémentent correctement la protection des champs.
Si vous ne pouvez pas mettre à niveau immédiatement, évaluez les risques et envisagez de surveiller les journaux du serveur à la recherche d'activités suspectes. Cependant, la mise à niveau est la solution la plus sûre.
Non, la vulnérabilité peut être exploitée par un utilisateur authentifié et ne nécessite pas de privilèges root ou administratifs.
Surveillez les journaux du serveur à la recherche de requêtes inhabituelles vers l'endpoint /sessions/me et de tout accès inattendu à des données qui devraient être protégées.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.