CVE-2026-27609
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.
Ocena ryzyka
Ryzyko polega na możliwości wykonania nieautoryzowanych działań przez atakującego w kontekście sesji administratora, co może prowadzić do naruszenia integralności danych lub konfiguracji aplikacji Parse Server.
Rekomendacja
Zaleca się natychmiastową aktualizację do wersji 9.0.0-alpha.8 lub nowszej. Jako tymczasowe obejście, usuń blok konfiguracyjny `agent` z konfiguracji dashboardu, jeśli nie jest wymagany.
Oryginalny opis (angielski, źródło NVD)
Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the AI Agent API endpoint (`POST /apps/:appId/agent`) lacks CSRF protection. An attacker can craft a malicious page that, when visited by an authenticated dashboard user, submits requests to the agent endpoint using the victim's session. The fix in version 9.0.0-alpha.8 adds CSRF middleware to the agent endpoint and embeds a CSRF token in the dashboard page. As a workaround, remove the `agent` configuration block from your dashboard configuration. Dashboards without an `agent` config are not affected.

