प्लेटफ़ॉर्म
nodejs
घटक
parse-server
में ठीक किया गया
9.0.1
7.0.1
9.8.0-alpha.7
CVE-2026-39381 is an information disclosure vulnerability affecting Parse Server. An authenticated user can bypass intended security measures by retrieving protected session fields through the /sessions/me endpoint. This vulnerability impacts versions prior to 9.8.0-alpha.7 and is resolved by upgrading to the patched version.
Parse Server में CVE-2026-39381 प्रमाणीकृत उपयोगकर्ताओं को GET /sessions/me एंडपॉइंट के माध्यम से अपने स्वयं के सत्र के संरक्षित फ़ील्ड तक पहुंचने की अनुमति देता है। Parse Server सर्वर ऑपरेटरों को फ़ील्ड निर्दिष्ट करने की अनुमति देता है जिन्हें 'संरक्षित' माना जाना चाहिए और API प्रतिक्रियाओं में प्रदर्शित नहीं किया जाना चाहिए। हालाँकि, यह विशिष्ट एंडपॉइंट इन प्रतिबंधों को सही ढंग से लागू नहीं करता है, जिससे एक प्रमाणीकृत उपयोगकर्ता संवेदनशील जानकारी प्राप्त कर सकता है जिसे छिपाने का इरादा था। GET /sessions और GET /sessions/:objectId एंडपॉइंट संरक्षित फ़ील्ड को सही ढंग से हटा देते हैं, यह दर्शाता है कि समस्या /sessions/me एंडपॉइंट के कार्यान्वयन के लिए विशिष्ट है। यह भेद्यता कॉन्फ़िगर किए गए संरक्षित फ़ील्ड के आधार पर व्यक्तिगत या गोपनीय जानकारी के प्रकटीकरण का कारण बन सकती है।
Parse Server में एक प्रमाणीकृत उपयोगकर्ता /sessions/me एंडपॉइंट पर GET अनुरोध भेजकर इस भेद्यता का शोषण कर सकता है। चूंकि वे पहले से ही प्रमाणित हैं, इसलिए किसी भी अतिरिक्त क्रेडेंशियल की आवश्यकता नहीं है। भेद्यता सर्वर-साइड लॉजिक में निहित है जो इस विशिष्ट एंडपॉइंट के लिए protectedFields प्रतिबंधों को सही ढंग से लागू नहीं करता है। शोषण अपेक्षाकृत सीधा है और केवल एक वैध HTTP अनुरोध की आवश्यकता होती है। शोषण का प्रभाव उन विशिष्ट फ़ील्ड पर निर्भर करता है जिन्हें संरक्षित के रूप में कॉन्फ़िगर किया गया है; यदि इन फ़ील्ड में संवेदनशील जानकारी होती है, तो शोषण के महत्वपूर्ण परिणाम हो सकते हैं।
Parse Server deployments utilizing the protectedFields feature to safeguard sensitive session data are at risk. This includes applications relying on Parse Server for backend functionality and those with custom authentication mechanisms where session data security is critical. Shared hosting environments using Parse Server are also potentially at risk, as vulnerabilities in one application could impact others.
• nodejs / server: Monitor Parse Server logs for requests to the /sessions/me endpoint that return protected fields. Use grep to search for patterns indicating unauthorized access to sensitive data.
grep 'protectedFields' /var/log/parse-server/access.log• nodejs / server: Implement a custom audit log to track access to the /sessions/me endpoint and specifically monitor for attempts to retrieve protected fields.
• generic web: Use curl to test the /sessions/me endpoint with an authenticated user and verify that protected fields are masked as expected.
curl -H "Authorization: Bearer <your_auth_token>" http://your-parse-server/sessions/medisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-39381 के लिए फ़िक्स Parse Server को संस्करण 9.8.0-alpha.7 या उच्चतर में अपग्रेड करना है। यह संस्करण सत्र सत्यापन के बाद कॉलर के प्रमाणीकरण संदर्भ का उपयोग करके सत्र को पुनः प्राप्त करके भेद्यता को ठीक करता है। संवेदनशील डेटा तक अनधिकृत पहुंच को रोकने के लिए जल्द से जल्द अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। यदि तत्काल अपग्रेड संभव नहीं है, तो जोखिम का आकलन करें और वैकल्पिक शमन उपायों पर विचार करें, हालांकि अपग्रेड सबसे सुरक्षित समाधान है। /sessions/me एंडपॉइंट से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की निगरानी भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है।
Actualice Parse Server a la versión 9.8.0-alpha.7 o superior, o a la versión 8.6.75 o superior. Esta actualización corrige la vulnerabilidad al asegurar que los campos protegidos no se expongan a través del endpoint /sessions/me.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
‘ProtectedFields’ _Session ऑब्जेक्ट में फ़ील्ड हैं जिन्हें सर्वर ऑपरेटर ने API प्रतिक्रियाओं में प्रदर्शित नहीं करने के लिए कॉन्फ़िगर किया है। यह क्लाइंट के साथ साझा की जाने वाली संवेदनशील जानकारी को नियंत्रित करने की अनुमति देता है।
यह भेद्यता /sessions/me एंडपॉइंट के कार्यान्वयन में एक विशिष्ट त्रुटि के कारण है। सत्र से संबंधित अन्य एंडपॉइंट (/sessions और /sessions/:objectId) फ़ील्ड सुरक्षा को सही ढंग से लागू करते हैं।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो जोखिम का आकलन करें और सर्वर लॉग में संदिग्ध गतिविधि की निगरानी करें। हालाँकि, अपग्रेड सबसे सुरक्षित समाधान है।
नहीं, इस भेद्यता का शोषण एक प्रमाणीकृत उपयोगकर्ता द्वारा किया जा सकता है और इसके लिए रूट या व्यवस्थापक विशेषाधिकारों की आवश्यकता नहीं होती है।
/sessions/me एंडपॉइंट पर असामान्य अनुरोधों और संरक्षित किए जाने वाले डेटा तक अप्रत्याशित पहुंच के लिए सर्वर लॉग की निगरानी करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।