Parse Server PostgreSQL में नेस्टेड ऑब्जेक्ट फ़ील्ड पर `Increment` ऑपरेशन के माध्यम से SQL इंजेक्शन के प्रति संवेदनशील है

यह भेद्यता हमलावरों को Parse Server डेटाबेस में अनधिकृत पहुंच प्राप्त करने की अनुमति देती है। वे SQL इंजेक्शन का उपयोग करके किसी भी डेटाबेस टेबल से डेटा पढ़ सकते हैं, जिसमें उपयोगकर्ता क्रेडेंशियल, एप्लिकेशन डेटा और अन्य संवेदनशील जानकारी शामिल हो सकती है। चूंकि भेद्यता CLPs और ACLs को बायपास करने की अनुमति देती है, इसलिए हमलावर उन डेटा तक पहुंच प्राप्त कर सकते हैं जिन्हें सामान्य रूप से प्रतिबंधित माना जाता है। MongoDB पर आधारित Parse Server इंस्टेंस इस भेद्यता से प्रभावित नहीं हैं। इस भेद्यता का उपयोग करके, हमलावर डेटा को संशोधित या हटा भी सकते हैं, जिससे एप्लिकेशन की कार्यक्षमता बाधित हो सकती है और डेटा हानि हो सकती है।

Organizations and developers using Parse Server for backend-as-a-service (BaaS) applications, particularly those relying on PostgreSQL for data storage, are at risk. Deployments with less stringent input validation or weaker access control policies are especially vulnerable. Shared hosting environments where multiple applications share the same Parse Server instance could also be affected, potentially impacting multiple tenants.

• nodejs / server: Monitor Parse Server logs for unusual SQL query patterns, particularly those involving dot notation in nested object fields. Look for queries containing SQL keywords or functions that are not expected in legitimate Increment operations.

grep -i 'SELECT|INSERT|UPDATE|DELETE' /var/log/parse-server.log

• database (postgresql): Review PostgreSQL audit logs for suspicious SQL queries originating from the Parse Server application. Look for queries that bypass access controls or attempt to access sensitive data.

SELECT query FROM pg_stat_activity WHERE datname = 'your_database_name';

• generic web: If Parse Server is exposed via a web interface, attempt to send Increment requests with non-numeric values in the amount field and monitor the server's response for error messages or unexpected behavior.

1. 2026-03-11Disclosure

   disclosure

1. आरक्षित2026-03-09
2. प्रकाशित2026-03-11
3. संशोधित2026-03-13
4. EPSS अद्यतन2026-03-23

Parse Server के संस्करण 9.6.0-alpha.3 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड तत्काल संभव नहीं है, तो आप कुछ अस्थायी शमन उपाय कर सकते हैं। इन उपायों में इनपुट सत्यापन को मजबूत करना और SQL इंजेक्शन हमलों को रोकने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करना शामिल है। सुनिश्चित करें कि सभी डेटाबेस कनेक्शन सुरक्षित हैं और उचित अनुमतियों के साथ कॉन्फ़िगर किए गए हैं। इसके अतिरिक्त, आप डेटाबेस ऑडिटिंग को सक्षम कर सकते हैं ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, डेटाबेस लॉग की निगरानी करें और सुनिश्चित करें कि कोई अनधिकृत पहुंच नहीं है।