Plataforma
nodejs
Componente
parse-server
Corrigido em
9.0.1
8.6.29
8.6.29
9.6.1
9.6.0-alpha.2
A vulnerabilidade CVE-2026-31840 representa uma injeção SQL no Parse Server, permitindo que um atacante manipule consultas ao banco de dados PostgreSQL. Essa falha ocorre devido à falta de escape adequado de valores de subcampos em consultas com notação de ponto, afetando versões anteriores a 9.6.0-alpha.2. A correção implementa um escape mais robusto para mitigar o risco.
Um atacante pode explorar essa vulnerabilidade injetando código SQL malicioso através do parâmetro de consulta 'sort', combinado com nomes de campos em notação de ponto. Isso permite a manipulação direta do banco de dados PostgreSQL, potencialmente levando à exfiltração de dados sensíveis, modificação de dados, ou até mesmo a execução de comandos arbitrários no servidor de banco de dados, dependendo das permissões do usuário do banco de dados. A vulnerabilidade também se estende a consultas que utilizam 'distinct' e 'where' com nomes de campos em notação de ponto, ampliando a superfície de ataque. A ausência de um workaround conhecido agrava o risco, exigindo uma atualização imediata.
A vulnerabilidade CVE-2026-31840 foi divulgada em 2026-03-10. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um proof-of-concept público é desconhecida. A severidade é classificada como CRÍTICA (CVSS 9.5), indicando um alto risco de exploração.
Organizations and developers utilizing Parse Server with PostgreSQL databases are at risk. This includes applications relying on Parse Server for backend functionality, particularly those handling sensitive user data or financial transactions. Those using older, unpatched versions of Parse Server are especially vulnerable.
• nodejs / server:
grep -r "parse-server" /path/to/parse-server-installation• nodejs / server:
ps aux | grep parse-server | grep -i postgres• generic web:
Inspect Parse Server API endpoints for the presence of sort parameters with dot-notation field names. Attempt to inject SQL syntax within these parameters to observe any unexpected behavior or error messages.
disclosure
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
A mitigação primária para CVE-2026-31840 é a atualização imediata para a versão 9.6.0-alpha.2 ou superior do Parse Server. Como não há workaround conhecido, a atualização é a única forma de eliminar a vulnerabilidade. Antes de atualizar, é crucial realizar um backup completo do banco de dados PostgreSQL para garantir a recuperação em caso de problemas durante o processo de atualização. Após a atualização, verifique a integridade do banco de dados e a funcionalidade das consultas para confirmar que a vulnerabilidade foi corrigida e que não há regressões.
Atualize Parse Server para a versão 9.6.0-alpha.2 ou superior, ou para a versão 8.6.28 ou superior. Isso corrige a vulnerabilidade de injeção SQL (SQL Injection) no banco de dados PostgreSQL ao escapar corretamente os valores de subcampos em consultas com notação de pontos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31840 is a critical SQL Injection vulnerability affecting Parse Server versions prior to 9.6.0-alpha.2. It allows attackers to inject malicious SQL code via dot-notation field names in sort queries, potentially compromising the PostgreSQL database.
You are affected if you are using Parse Server versions prior to 9.6.0-alpha.2 and have a PostgreSQL database configured. Immediately assess your deployment and apply the necessary updates.
Upgrade Parse Server to version 9.6.0-alpha.2 or later. This version includes a fix that properly escapes characters in dot-notation sub-field values, preventing SQL injection.
There is currently no public information indicating that CVE-2026-31840 is being actively exploited, but the vulnerability's severity warrants immediate attention and remediation.
Refer to the Parse Server GitHub repository for the official advisory and release notes: [https://github.com/parse/parse-server](https://github.com/parse/parse-server)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.