CRITICAL🇬🇧 English

CVE-2026-27595

Brak uwierzytelnienia w API AI Agent — Parse Dashboard RCE/zapis bazy danych

CVSS 9.9v4.0pub. 2026-02-25upd. 2026-06-26

Parse Dashboard w wersjach 7.3.0-alpha.42 do 9.0.0-alpha.7 zawiera krytyczną podatność (CWE-306) w endpoincie AI Agent API, umożliwiającą nieuwierzytelnionym zdalnym atakującym pełny odczyt i zapis danych w każdej połączonej bazie Parse Server. Zagrożenie jest szczególnie poważne, ponieważ operacje wykonywane są z użyciem klucza master.

Pokaż oryginał (EN)

Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the AI Agent API endpoint (POST `/apps/:appId/agent`) has multiple security vulnerabilities that, when chained, allow unauthenticated remote attackers to perform arbitrary read and write operations against any connected Parse Server database using the master key. The agent feature is opt-in; dashboards without an agent config are not affected. The fix in version 9.0.0-alpha.8 adds authentication, CSRF validation, and per-app authorization middleware to the agent endpoint. Read-only users are restricted to the `readOnlyMasterKey` with write permissions stripped server-side. A cache key collision between master key and read-only master key was also corrected. As a workaround, remove or comment out the agent configuration block from your Parse Dashboard configuration.

🤖 Analiza AI
Jak działa

Endpoint POST `/apps/:appId/agent` nie wymagał żadnego uwierzytelnienia ani walidacji CSRF, co pozwalało każdemu użytkownikowi sieciowemu na jego bezpośrednie wywołanie. Atakujący mógł połączyć ze sobą kilka luk: brak mechanizmu autoryzacji per-aplikacja, brak uwierzytelnienia sesji oraz błąd kolizji klucza cache między kluczem master a kluczem master tylko do odczytu. Rezultatem łańcucha tych podatności było uzyskanie dostępu do operacji bazodanowych z uprawnieniami master key. Funkcja AI Agent jest opcjonalna — dashboardy bez skonfigurowanego bloku agent nie są podatne.

Skutki

Nieuwierzytelniony atakujący zdalnie może wykonywać dowolne operacje odczytu i zapisu na każdej bazie danych Parse Server podłączonej do podatnego dashboardu, w tym modyfikować, usuwać lub eksfiltrować wszystkie dane aplikacji.

Mitygacja

Należy zaktualizować Parse Dashboard do wersji 9.0.0-alpha.8 lub nowszej, która dodaje uwierzytelnienie, walidację CSRF oraz middleware autoryzacji per-aplikacja dla endpointu agent. Jako obejście tymczasowe (workaround) należy usunąć lub zakomentować blok konfiguracyjny agent w pliku konfiguracyjnym Parse Dashboard.

Kogo dotyczy

Parseplatform Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 (włącznie) z aktywną konfiguracją bloku agent.

Uwagi

Podatność dotyczy wyłącznie instalacji z aktywną konfiguracją AI Agent (funkcja opt-in). Dashboardy bez bloku agent w konfiguracji nie są zagrożone. Szczegóły dostępne w GitHub Security Advisory GHSA-qwc3-h9mg-4582.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Parseplatform Parse Dashboard

    APP
    Parseplatform
    7.3.07.4.07.5.07.6.08.0.08.1.08.1.18.2.08.3.08.4.08.4.18.5.09.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-27608CRITICAL9.3PL ✓ten sam produkt

Parse Dashboard: brak autoryzacji w endpoint AI Agent API (CVE-2026-27608)

CVE-2026-27609HIGH8.3ten sam produkt

Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9...

CVE-2026-27610HIGH7.0ten sam produkt

Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9...

CVE-2026-34532CRITICAL9.1PL ✓ten sam vendor

Parse Server: obejście walidatorów Cloud Functions przez prototype chain

CVE-2026-32242CRITICAL9.1PL ✓ten sam vendor

Race condition w Parse Server — błędna walidacja tokenów OAuth2