Vulnerabilidad en parse-server (CVE-2026-32098)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
11/03/2026
Última modificación:
13/03/2026
Descripción
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.9 y 8.6.35, un atacante puede explotar las suscripciones de LiveQuery para inferir los valores de campos protegidos sin recibirlos directamente. Al suscribirse con una cláusula WHERE que hace referencia a un campo protegido (incluyendo a través de notación de puntos o $regex), el atacante puede observar si se entregan eventos de LiveQuery para objetos coincidentes. Esto crea un oráculo booleano que filtra valores de campos protegidos. El ataque afecta a cualquier clase que tenga tanto protectedFields configurados en Permisos a Nivel de Clase como LiveQuery habilitado. Esta vulnerabilidad está corregida en 9.6.0-alpha.9 y 8.6.35.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 8.6.35 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 9.0.0 (incluyendo) | 9.6.0 (excluyendo) |
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha6:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha7:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha8:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página