Vulnerabilidad en parse-server de parse-community (CVE-2026-32943)
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/03/2026
Última modificación:
19/03/2026
Descripción
Parse Server es un backend de código abierto que puede implementarse en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 9.6.0-alpha.28 y 8.6.48, el mecanismo de restablecimiento de contraseña no aplica garantías de un solo uso para los tokens de restablecimiento. Cuando un usuario solicita un restablecimiento de contraseña, el token generado puede ser consumido por múltiples solicitudes concurrentes dentro de una ventana de tiempo corta. Un atacante que ha interceptado un token de restablecimiento de contraseña puede competir con la solicitud de restablecimiento de contraseña del usuario legítimo, haciendo que ambas solicitudes tengan éxito. Esto puede resultar en que el usuario legítimo crea que su contraseña fue cambiada exitosamente mientras que la contraseña del atacante entra en vigor en su lugar. Todas las implementaciones de Parse Server que utilizan la función de restablecimiento de contraseña están afectadas. A partir de las versiones 9.6.0-alpha.28 y 8.6.48, el token de restablecimiento de contraseña ahora se valida y consume atómicamente como parte de la operación de actualización de contraseña. La consulta a la base de datos que actualiza la contraseña incluye el token de restablecimiento como una condición, asegurando que solo una solicitud concurrente pueda consumir exitosamente el token. Las solicitudes posteriores que utilicen el mismo token fallarán porque el token ya ha sido borrado. No existe una solución alternativa conocida aparte de la actualización.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 8.6.48 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 9.0.0 (incluyendo) | 9.6.0 (excluyendo) |
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha10:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha11:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha12:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha13:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha14:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha15:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha16:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha17:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha18:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha19:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha20:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página