Plataforma
nodejs
Componente
parse-server
Corrigido em
9.0.1
8.6.30
8.6.30
9.6.1
9.6.0-alpha.3
Uma vulnerabilidade de SQL Injection foi descoberta no Parse Server, especificamente no adaptador de armazenamento PostgreSQL ao processar operações Increment em campos de objetos aninhados usando notação de ponto. Um atacante pode injetar subconsultas SQL arbitrárias para ler dados do banco de dados, contornando controles de acesso. As versões afetadas são aquelas anteriores a 9.6.0-alpha.3; a correção já foi implementada e disponibilizada.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante ler dados sensíveis do banco de dados Parse Server. Como a injeção SQL ignora os Controles de Lista de Acesso (ACLs) e os Controles de Lista de Colunas (CLPs), o atacante pode acessar informações que normalmente estariam protegidas. Isso inclui dados de usuários, informações de aplicativos e outros dados armazenados no banco de dados. O impacto é significativo, pois pode levar à exposição de dados confidenciais e comprometimento da integridade do sistema. Não há precedentes públicos de exploração ativa, mas a facilidade de exploração, combinada com a criticidade dos dados armazenados no Parse Server, torna esta vulnerabilidade uma prioridade alta.
Esta vulnerabilidade foi divulgada em 2026-03-11. Não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação, mas a alta pontuação CVSS (9.5) indica um risco significativo. Não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade (SQL Injection) sugere que um PoC pode ser desenvolvido rapidamente. A probabilidade de exploração é considerada média a alta devido à facilidade de exploração e ao potencial impacto.
Organizations and developers using Parse Server for backend-as-a-service (BaaS) applications, particularly those relying on PostgreSQL for data storage, are at risk. Deployments with less stringent input validation or weaker access control policies are especially vulnerable. Shared hosting environments where multiple applications share the same Parse Server instance could also be affected, potentially impacting multiple tenants.
• nodejs / server: Monitor Parse Server logs for unusual SQL query patterns, particularly those involving dot notation in nested object fields. Look for queries containing SQL keywords or functions that are not expected in legitimate Increment operations.
grep -i 'SELECT|INSERT|UPDATE|DELETE' /var/log/parse-server.log• database (postgresql): Review PostgreSQL audit logs for suspicious SQL queries originating from the Parse Server application. Look for queries that bypass access controls or attempt to access sensitive data.
SELECT query FROM pg_stat_activity WHERE datname = 'your_database_name';• generic web: If Parse Server is exposed via a web interface, attempt to send Increment requests with non-numeric values in the amount field and monitor the server's response for error messages or unexpected behavior.
disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
A mitigação primária é atualizar o Parse Server para a versão 9.6.0-alpha.3 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear tentativas de injeção SQL. Além disso, revise e reforce os controles de acesso (ACLs) para garantir que os usuários tenham apenas o acesso necessário aos dados. Monitore os logs do Parse Server em busca de padrões suspeitos de injeção SQL. Após a atualização, confirme a correção executando testes de penetração ou revisando o código para garantir que a vulnerabilidade foi efetivamente corrigida.
Atualize Parse Server para a versão 9.6.0-alpha.3 ou superior, ou para a versão 8.6.29 ou superior. Isso corrige a vulnerabilidade de Injeção SQL (SQL Injection) na operação `Increment` em campos de objetos aninhados no PostgreSQL. A atualização previne a execução de consultas SQL arbitrárias e o acesso não autorizado a dados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-31856 is a critical SQL injection vulnerability affecting Parse Server versions prior to 9.6.0-alpha.3. It allows attackers to inject malicious SQL queries via Increment operations, potentially leading to data breaches.
You are affected if you are running Parse Server versions prior to 9.6.0-alpha.3 and use PostgreSQL as your database. MongoDB deployments are not affected.
Upgrade Parse Server to version 9.6.0-alpha.3 or later. As a temporary workaround, implement stricter input validation on the server-side for the amount parameter.
While no active exploitation has been confirmed, the vulnerability's severity and potential impact suggest a high likelihood of exploitation if a public proof-of-concept is released.
Refer to the official Parse Server security advisory for detailed information and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.