Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en parse-server de parse-community (CVE-2026-32728)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/03/2026
Última modificación:
19/03/2026

Descripción

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.15 y 8.6.41, un atacante al que se le permite subir archivos puede eludir el filtro de extensión de archivo añadiendo un parámetro MIME (p. ej., `;charset=utf-8`) al encabezado `Content-Type`. Esto hace que la validación de la extensión falle al cotejarla con la lista de bloqueo, permitiendo que el contenido activo sea almacenado y servido bajo el dominio de la aplicación. Además, ciertas extensiones de archivo basadas en XML que pueden renderizar scripts en navegadores web no están incluidas en la lista de bloqueo predeterminada. Esto puede llevar a ataques de XSS almacenado, comprometiendo tokens de sesión, credenciales de usuario u otros datos sensibles accesibles a través del almacenamiento local del navegador. La corrección en las versiones 9.6.0-alpha.15 y 8.6.41 elimina los parámetros MIME del encabezado `Content-Type` antes de validar la extensión de archivo contra la lista de bloqueo. La lista de bloqueo predeterminada también se ha extendido para incluir extensiones adicionales basadas en XML (`xsd`, `rng`, `rdf`, `rdf+xml`, `owl`, `mathml`, `mathml+xml`) que pueden renderizar contenido activo en navegadores web. Tenga en cuenta que la opción `fileUpload.fileExtensions` está destinada a ser configurada como una lista de permitidos de extensiones de archivo que son válidas para una aplicación específica, no como una lista de denegados. La lista de denegados predeterminada se proporciona solo como un valor predeterminado básico que cubre las extensiones problemáticas más comunes. No pretende ser una lista exhaustiva de todas las extensiones potencialmente peligrosas. Los desarrolladores no deben depender del valor predeterminado, ya que nuevas extensiones que pueden renderizar contenido activo en navegadores podrían surgir en el futuro. Como solución alternativa, configure la opción `fileUpload.fileExtensions` para usar una lista de permitidos de solo las extensiones de archivo que su aplicación necesita, en lugar de depender de la lista de bloqueo predeterminada.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0
8.30
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.60
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* 8.6.41 (excluyendo)
cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* 9.0.0 (incluyendo) 9.6.0 (excluyendo)
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha10:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha11:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha12:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha13:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha14:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha6:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha7:*:*:*:node.js:*:*
cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha8:*:*:*:node.js:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información