Katalog CVE

CVE-2026-53724

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Parse Server przed wersjami 8.6.79 i 9.9.1-alpha.4 pozwalał na obejście domyślnej listy blokowanych rozszerzeń plików poprzez dodanie kropki na końcu nazwy pliku. To umożliwia atakującym przesyłanie plików z niebezpiecznymi typami MIME, co prowadzi do możliwości wykonania ataków XSS.

Ocena ryzyka

Organizacje mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. W przypadku wykorzystania tej podatności, atakujący może złożyć złośliwy plik, który zostanie otwarty przez ofiarę.

Rekomendacja

Zaleca się aktualizację Parse Server do wersji 8.6.79 lub 9.9.1-alpha.4, aby usunąć tę podatność. Dodatkowo, warto rozważyć wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak walidacja typów MIME.

Oryginalny opis (angielski, źródło NVD)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.79 and 9.9.1-alpha.4, the default file upload extension blocklist can be bypassed by appending a trailing dot to a filename whose extension would otherwise be blocked (e.g. poc.svg.). The trailing dot causes the extension parser to extract an empty string, which short-circuits the blocklist check, and the attacker-controlled Content-Type is forwarded to the storage adapter unchanged. Storage adapters that persist and serve the provided Content-Type (such as S3 or GCS) then serve the file with an active type such as image/svg+xml, enabling stored XSS when a victim opens the file URL. The default GridFS adapter is not affected because it sets X-Content-Type-Options: nosniff on responses. This issue has been patched in versions 8.6.79 and 9.9.1-alpha.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS