Vulnerabilidad en parse-server (CVE-2026-31875)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/03/2026
Última modificación:
13/03/2026
Descripción
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de 9.6.0-alpha.7 y 8.6.33, cuando la autenticación multifactor (MFA) vía TOTP está habilitada para una cuenta de usuario, Parse Server genera dos códigos de recuperación de un solo uso. Estos códigos están destinados como un mecanismo de respaldo cuando el usuario no puede proporcionar un token TOTP. Sin embargo, los códigos de recuperación no se consumen después de su uso, permitiendo que el mismo código de recuperación sea utilizado un número ilimitado de veces. Esto anula el diseño de un solo uso de los códigos de recuperación y debilita la seguridad de las cuentas protegidas por MFA. Un atacante que obtiene un solo código de recuperación puede autenticarse repetidamente como el usuario afectado sin que el código sea invalidado. Esta vulnerabilidad está corregida en 9.6.0-alpha.7 y 8.6.33.
Impacto
Puntuación base 4.0
8.20
Gravedad 4.0
ALTA
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 8.6.33 (excluyendo) | |
| cpe:2.3:a:parseplatform:parse-server:*:*:*:*:*:node.js:*:* | 9.0.0 (incluyendo) | 9.6.0 (excluyendo) |
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha1:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha2:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha3:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha4:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha5:*:*:*:node.js:*:* | ||
| cpe:2.3:a:parseplatform:parse-server:9.6.0:alpha6:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página