प्लेटफ़ॉर्म
nodejs
घटक
parse-server
में ठीक किया गया
9.0.1
8.6.29
8.6.29
9.6.1
9.6.0-alpha.2
CVE-2026-31840 Parse Server में एक गंभीर SQL इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को डेटाबेस में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है, जिसके परिणामस्वरूप डेटा का समझौता या सिस्टम पर नियंत्रण हो सकता है। यह भेद्यता PostgreSQL डेटाबेस का उपयोग करने वाले Parse Server के संस्करणों को प्रभावित करती है 9.6.0-alpha.2 से पहले। संस्करण 9.6.0-alpha.2 में अपग्रेड करके इस समस्या का समाधान किया गया है।
यह भेद्यता Parse Server उपयोगकर्ताओं के लिए एक महत्वपूर्ण जोखिम पैदा करती है जो PostgreSQL डेटाबेस का उपयोग करते हैं। एक हमलावर एक डॉट-नोटेशन फ़ील्ड नाम के साथ sort क्वेरी पैरामीटर का उपयोग करके SQL इंजेक्शन कर सकता है। यह हमलावर को डेटाबेस में SQL कोड इंजेक्ट करने की अनुमति देता है, जिससे वे संवेदनशील डेटा तक पहुंच सकते हैं, डेटा को संशोधित कर सकते हैं या यहां तक कि डेटाबेस सर्वर पर नियंत्रण प्राप्त कर सकते हैं। भेद्यता distinct और where क्वेरी पैरामीटर के साथ डॉट-नोटेशन फ़ील्ड नामों का उपयोग करने वाली क्वेरी को भी प्रभावित कर सकती है। इस भेद्यता का शोषण करने से डेटा हानि, सेवा व्यवधान और प्रतिष्ठा को नुकसान हो सकता है।
CVE-2026-31840 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी गंभीरता और संभावित प्रभाव के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन SQL इंजेक्शन भेद्यताओं का इतिहास दर्शाता है कि वे शोषण करने में अपेक्षाकृत आसान हो सकते हैं। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है। इस भेद्यता को गंभीरता से लेना और जल्द से जल्द शमन उपाय लागू करना महत्वपूर्ण है।
Organizations and developers utilizing Parse Server with PostgreSQL databases are at risk. This includes applications relying on Parse Server for backend functionality, particularly those handling sensitive user data or financial transactions. Those using older, unpatched versions of Parse Server are especially vulnerable.
• nodejs / server:
grep -r "parse-server" /path/to/parse-server-installation• nodejs / server:
ps aux | grep parse-server | grep -i postgres• generic web:
Inspect Parse Server API endpoints for the presence of sort parameters with dot-notation field names. Attempt to inject SQL syntax within these parameters to observe any unexpected behavior or error messages.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (20% शतमक)
CISA SSVC
CVE-2026-31840 के लिए प्राथमिक शमन उपाय Parse Server को संस्करण 9.6.0-alpha.2 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण भेद्यता को ठीक करने के लिए आवश्यक सुरक्षा पैच शामिल करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, डेटाबेस स्तर पर अतिरिक्त सुरक्षा उपायों को लागू करने पर विचार करें, जैसे कि डेटाबेस उपयोगकर्ता अनुमतियों को सीमित करना और SQL इंजेक्शन हमलों को रोकने के लिए इनपुट सत्यापन लागू करना। हालाँकि, ये कार्यarounds पूर्ण सुरक्षा प्रदान नहीं करते हैं और अपग्रेड को प्राथमिकता दी जानी चाहिए। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, डेटाबेस लॉग की समीक्षा करें और सामान्य संचालन की पुष्टि करें।
Parse Server को संस्करण 9.6.0-alpha.2 या उच्चतर, या संस्करण 8.6.28 या उच्चतर में अपडेट करें। यह डॉट-नोटेशन क्वेरी में सब-फ़ील्ड मानों को ठीक से एस्केप करके PostgreSQL डेटाबेस में SQL इंजेक्शन भेद्यता को ठीक करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-31840 Parse Server में एक SQL इंजेक्शन भेद्यता है जो हमलावरों को डेटाबेस में दुर्भावनापूर्ण SQL कोड इंजेक्ट करने की अनुमति देती है।
यदि आप Parse Server का उपयोग कर रहे हैं और संस्करण 9.6.0-alpha.2 से पहले के संस्करण चला रहे हैं, तो आप प्रभावित हैं।
Parse Server को संस्करण 9.6.0-alpha.2 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-31840 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन शोषण के लिए एक आकर्षक लक्ष्य है।
Parse Server आधिकारिक सलाहकार GitHub पर उपलब्ध है: [GitHub लिंक - GitHub लिंक यहां डालें]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।