CVE-2026-30967
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
10/03/2026
Última modificación:
11/03/2026
Descripción
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.5.2-alpha.9. y 8.6.22, el adaptador de autenticación OAuth2, cuando se configura sin la opción useridField, solo verifica que un token está activo a través del endpoint de introspección de tokens del proveedor, pero no verifica que el token pertenezca al usuario identificado por authData.id. Un atacante con cualquier token OAuth2 válido del mismo proveedor puede autenticarse como cualquier otro usuario. Esto afecta a cualquier despliegue de Parse Server que utiliza el adaptador de autenticación OAuth2 genérico (configurado con oauth2: true) sin establecer la opción useridField. Esta vulnerabilidad está corregida en 9.5.2-alpha.9. y 8.6.22.
Impacto
Puntuación base 4.0
7.60
Gravedad 4.0
ALTA
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 8.6.22 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 9.0.0 (incluyendo) | 9.5.2 (excluyendo) |
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.5.2:alpha8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página