プラットフォーム
nodejs
コンポーネント
parse-server
修正版
9.0.1
8.6.30
8.6.30
9.6.1
9.6.0-alpha.3
Parse ServerのPostgreSQLストレージアダプタにおいて、SQLインジェクションの脆弱性が確認されました。この脆弱性を悪用されると、攻撃者はデータベース内の機密情報を窃取する可能性があります。影響を受けるバージョンは9.6.0-alpha.3以前です。開発者は9.6.0-alpha.3へのアップデートを推奨します。
このSQLインジェクション脆弱性は、Parse Server REST APIへの書き込みリクエストを送信できる攻撃者によって悪用される可能性があります。攻撃者は、ドット表記(例:stats.counter)を使用したネストされたオブジェクトフィールドのIncrement操作中に、SQLクエリに悪意のあるSQLサブクエリを挿入できます。これにより、CLP(Column-Level Permissions)やACL(Access Control Lists)をバイパスし、データベース内のあらゆるデータを読み取ることが可能になります。MongoDB環境では影響を受けません。この脆弱性は、機密情報の漏洩、データの改ざん、さらにはデータベースサーバーの完全な制御につながる可能性があります。
この脆弱性は2026年3月11日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SQLインジェクションの脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
Organizations and developers using Parse Server for backend-as-a-service (BaaS) applications, particularly those relying on PostgreSQL for data storage, are at risk. Deployments with less stringent input validation or weaker access control policies are especially vulnerable. Shared hosting environments where multiple applications share the same Parse Server instance could also be affected, potentially impacting multiple tenants.
• nodejs / server: Monitor Parse Server logs for unusual SQL query patterns, particularly those involving dot notation in nested object fields. Look for queries containing SQL keywords or functions that are not expected in legitimate Increment operations.
grep -i 'SELECT|INSERT|UPDATE|DELETE' /var/log/parse-server.log• database (postgresql): Review PostgreSQL audit logs for suspicious SQL queries originating from the Parse Server application. Look for queries that bypass access controls or attempt to access sensitive data.
SELECT query FROM pg_stat_activity WHERE datname = 'your_database_name';• generic web: If Parse Server is exposed via a web interface, attempt to send Increment requests with non-numeric values in the amount field and monitor the server's response for error messages or unexpected behavior.
disclosure
エクスプロイト状況
EPSS
0.04% (11% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、Parse Serverをバージョン9.6.0-alpha.3以降にアップデートすることを強く推奨します。アップデートが一時的にシステムに影響を与える場合は、ロールバックを検討してください。WAF(Web Application Firewall)やリバースプロキシを導入し、SQLインジェクション攻撃を検知・防御するルールを設定することも有効です。また、入力値の型チェックを強化し、数値以外の値を拒否するよう設定を変更することで、攻撃のリスクを軽減できます。
Parse Server を 9.6.0-alpha.3 以降、または 8.6.29 以降にアップデートしてください。これにより、PostgreSQL におけるネストされたオブジェクトフィールドの `Increment` 演算における SQL インジェクションの脆弱性が修正されます。アップデートにより、任意の SQL クエリの実行と不正なデータアクセスを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-31856は、Parse ServerのPostgreSQLストレージアダプタにおけるSQLインジェクション脆弱性です。攻撃者は、不正なSQLクエリを挿入し、データベース内のデータを読み取ることが可能です。
Parse Serverのバージョン9.6.0-alpha.3以前を使用している場合、この脆弱性の影響を受ける可能性があります。MongoDB環境では影響を受けません。
Parse Serverをバージョン9.6.0-alpha.3以降にアップデートすることで修正できます。アップデートがシステムに影響を与える場合は、一時的にロールバックを検討してください。
現時点では、公開されているPoCは確認されていませんが、SQLインジェクションの脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Parse Serverの公式アドバイザリは、Parseの公式ウェブサイトまたはGitHubリポジトリで確認できます。