平台
nodejs
组件
parse-server
修复版本
9.0.1
7.0.1
9.8.0-alpha.7
CVE-2026-39381 是 Parse-Server 中的一个安全漏洞,该漏洞允许经过身份验证的用户通过 /sessions/me 端点检索其会话的受保护字段,即使这些字段已通过服务器选项配置为受保护的。此漏洞可能导致敏感数据泄露。该漏洞影响 Parse-Server 版本低于 9.8.0-alpha.7 的版本。此问题已通过更新到 9.8.0-alpha.7 解决。
Parse Server 中的 CVE-2026-39381 允许经过身份验证的用户通过 GET /sessions/me 端点访问其自身会话的受保护字段。Parse Server 允许服务器操作员指定应被视为“受保护”且不应在 API 响应中公开的字段。但是,此特定端点未正确强制执行这些限制,允许经过身份验证的用户检索本应隐藏的敏感信息。GET /sessions 和 GET /sessions/:objectId 端点正确地删除了受保护的字段,表明问题在于 /sessions/me 端点的实现。此漏洞可能导致个人或机密信息的泄露,具体取决于配置的受保护字段。
Parse Server 中的经过身份验证的用户可以通过向 /sessions/me 端点发送 GET 请求来利用此漏洞。由于他们已经经过身份验证,因此不需要任何其他凭据。漏洞在于服务器端逻辑,该逻辑未正确应用此特定端点的 protectedFields 限制。利用相对简单,只需要有效的 HTTP 请求。利用的影响取决于配置为受保护的特定字段;如果这些字段包含敏感信息,则利用可能会产生重大后果。
Parse Server deployments utilizing the protectedFields feature to safeguard sensitive session data are at risk. This includes applications relying on Parse Server for backend functionality and those with custom authentication mechanisms where session data security is critical. Shared hosting environments using Parse Server are also potentially at risk, as vulnerabilities in one application could impact others.
• nodejs / server: Monitor Parse Server logs for requests to the /sessions/me endpoint that return protected fields. Use grep to search for patterns indicating unauthorized access to sensitive data.
grep 'protectedFields' /var/log/parse-server/access.log• nodejs / server: Implement a custom audit log to track access to the /sessions/me endpoint and specifically monitor for attempts to retrieve protected fields.
• generic web: Use curl to test the /sessions/me endpoint with an authenticated user and verify that protected fields are masked as expected.
curl -H "Authorization: Bearer <your_auth_token>" http://your-parse-server/sessions/medisclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
CVE-2026-39381 的修复方法是将 Parse Server 升级到 9.8.0-alpha.7 或更高版本。此版本通过在会话验证后使用调用者的身份验证上下文重新获取会话来修复漏洞。强烈建议尽快升级,以防止未经授权访问敏感数据。如果无法立即升级,请评估风险并考虑替代缓解措施,尽管升级是最安全的解决方案。监控服务器日志中与 /sessions/me 端点相关的可疑活动也可以帮助检测潜在的利用尝试。
Actualice Parse Server a la versión 9.8.0-alpha.7 o superior, o a la versión 8.6.75 o superior. Esta actualización corrige la vulnerabilidad al asegurar que los campos protegidos no se expongan a través del endpoint /sessions/me.
漏洞分析和关键警报直接发送到您的邮箱。
‘ProtectedFields’ 是 _Session 对象中的字段,服务器操作员已将其配置为不应在 API 响应中显示。这允许控制与客户端共享哪些敏感信息。
此漏洞是由于 /sessions/me 端点实现中的特定错误造成的。与会话相关的其他端点 (/sessions 和 /sessions/:objectId) 正确地实现了字段保护。
如果您无法立即升级,请评估风险并监控服务器日志中是否存在可疑活动。但是,升级是最安全的解决方案。
不,此漏洞可以由经过身份验证的用户利用,并且不需要 root 或管理员权限。
监控服务器日志中是否存在对 /sessions/me 端点的异常请求以及对应该受到保护的数据的意外访问。