Plataforma
nodejs
Componente
parse-server
Corrigido em
9.0.1
7.0.1
9.8.0-alpha.7
CVE-2026-39381 is an information disclosure vulnerability affecting Parse Server. An authenticated user can bypass intended security measures by retrieving protected session fields through the /sessions/me endpoint. This vulnerability impacts versions prior to 9.8.0-alpha.7 and is resolved by upgrading to the patched version.
A vulnerabilidade CVE-2026-39381 no Parse Server permite que usuários autenticados acessem campos protegidos de sua própria sessão através do endpoint GET /sessions/me. O Parse Server permite que os operadores do servidor especifiquem campos que devem ser considerados 'protegidos' e não expostos nas respostas da API. No entanto, este endpoint específico não aplica corretamente essas restrições, permitindo que um usuário autenticado recupere informações sensíveis que deveriam estar ocultas. Os endpoints GET /sessions e GET /sessions/:objectId implementam corretamente a proteção de campos, indicando que o problema é específico da implementação do endpoint /sessions/me. Essa vulnerabilidade pode resultar na exposição de informações pessoais ou confidenciais, dependendo dos campos protegidos configurados.
Um usuário autenticado no Parse Server pode explorar esta vulnerabilidade enviando uma solicitação GET para o endpoint /sessions/me. Como eles já estão autenticados, nenhuma credencial adicional é necessária. A vulnerabilidade reside na lógica do lado do servidor que não aplica corretamente as restrições de protectedFields para este endpoint específico. A exploração é relativamente direta, exigindo apenas uma solicitação HTTP válida. O impacto da exploração depende dos campos específicos configurados como protegidos; se esses campos contiverem informações sensíveis, a exploração pode ter consequências significativas.
Parse Server deployments utilizing the protectedFields feature to safeguard sensitive session data are at risk. This includes applications relying on Parse Server for backend functionality and those with custom authentication mechanisms where session data security is critical. Shared hosting environments using Parse Server are also potentially at risk, as vulnerabilities in one application could impact others.
• nodejs / server: Monitor Parse Server logs for requests to the /sessions/me endpoint that return protected fields. Use grep to search for patterns indicating unauthorized access to sensitive data.
grep 'protectedFields' /var/log/parse-server/access.log• nodejs / server: Implement a custom audit log to track access to the /sessions/me endpoint and specifically monitor for attempts to retrieve protected fields.
• generic web: Use curl to test the /sessions/me endpoint with an authenticated user and verify that protected fields are masked as expected.
curl -H "Authorization: Bearer <your_auth_token>" http://your-parse-server/sessions/medisclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A correção para CVE-2026-39381 é atualizar o Parse Server para a versão 9.8.0-alpha.7 ou superior. Esta versão corrige a vulnerabilidade ao reobter a sessão com o contexto de autenticação do chamador após a validação da sessão. Recomenda-se fortemente atualizar o mais rápido possível para evitar o acesso não autorizado a dados sensíveis. Se uma atualização imediata não for possível, avalie o risco e considere medidas de mitigação alternativas, embora a atualização seja a solução mais segura. Monitorar os logs do servidor em busca de atividades suspeitas relacionadas ao endpoint /sessions/me também pode ajudar a detectar possíveis tentativas de exploração.
Actualice Parse Server a la versión 9.8.0-alpha.7 o superior, o a la versión 8.6.75 o superior. Esta actualización corrige la vulnerabilidad al asegurar que los campos protegidos no se expongan a través del endpoint /sessions/me.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
‘ProtectedFields’ são campos dentro de um objeto _Session que o operador do servidor configurou para não serem expostos nas respostas da API. Isso permite controlar quais informações confidenciais são compartilhadas com os clientes.
A vulnerabilidade se deve a um erro específico na implementação do endpoint /sessions/me. Outros endpoints relacionados a sessões (/sessions e /sessions/:objectId) implementam corretamente a proteção de campos.
Se você não puder atualizar imediatamente, avalie o risco e considere monitorar os logs do servidor em busca de atividades suspeitas. No entanto, a atualização é a solução mais segura.
Não, a vulnerabilidade pode ser explorada por um usuário autenticado e não requer privilégios de root ou administrativos.
Monitore os logs do servidor em busca de solicitações incomuns para o endpoint /sessions/me e qualquer acesso inesperado a dados que deveriam estar protegidos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.