Vulnerabilidad en Parse Server (CVE-2026-27804)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
26/02/2026
Última modificación:
27/02/2026
Descripción
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.3 y 9.1.1-alpha.4, un atacante no autenticado puede falsificar un token de autenticación de Google con 'alg: "none"' para iniciar sesión como cualquier usuario vinculado a una cuenta de Google, sin conocer sus credenciales. Todas las implementaciones con autenticación de Google habilitada se ven afectadas. La corrección en las versiones 8.6.3 y 9.1.1-alpha.4 codifica de forma rígida el algoritmo 'RS256' esperado en lugar de confiar en el encabezado JWT, y reemplaza el recuperador de claves personalizado del adaptador de Google con 'jwks-rsa' que rechaza los ID de clave desconocidos. Como solución alternativa, deshabilite la autenticación de Google hasta que sea posible la actualización.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/parse-community/parse-server/commit/9b94083accb7f3e72c6b8126c195c7a03dd2dfd7
- https://github.com/parse-community/parse-server/commit/9d5942d50e55c822924c27b05aa98f1393e7a330
- https://github.com/parse-community/parse-server/releases/tag/8.6.3
- https://github.com/parse-community/parse-server/releases/tag/9.3.1-alpha.4
- https://github.com/parse-community/parse-server/security/advisories/GHSA-4q3h-vp4r-prv2