Vulnerabilities ›

CVE-2026-33498

High

CWE-674 — Weakness Type

                    Published: Mar 24, 2026                      ·  Modified: Mar 30, 2026                      ·  Source: NVD                

CVSS v3

7.5

🔗 NVD Official

📄 Description (English)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.55 and 9.6.0-alpha.44, an attacker can send an unauthenticated HTTP request with a deeply nested query containing logical operators to permanently hang the Parse Server process. The server becomes completely unresponsive and must be manually restarted. This is a bypass of the fix for CVE-2026-32944. This issue has been patched in versions 8.6.55 and 9.6.0-alpha.44.

🤖 AI Executive Summary

Parse Server versions prior to 8.6.55 and 9.6.0-alpha.44 are vulnerable to a denial-of-service attack where unauthenticated attackers can send deeply nested queries with logical operators to permanently hang the server process. The vulnerability bypasses the previous fix for CVE-2026-32944 and requires manual server restart to recover.

📄 Description (Arabic)

يسمح هذا الضعف للمهاجمين غير المصرح لهم بإرسال طلبات HTTP تحتوي على استعلامات متداخلة بعمق شديد مع عوامل منطقية لتعليق عملية خادم Parse بشكل دائم. يصبح الخادم غير مستجيب تماماً ويتطلب إعادة تشغيل يدوية للاستعادة. هذا يمثل تجاوزاً للإصلاح السابق الذي تم تطبيقه لـ CVE-2026-32944.

🤖 ملخص تنفيذي (AI)

خوادم Parse السابقة للإصدارات 8.6.55 و 9.6.0-alpha.44 عرضة لهجوم حرمان الخدمة حيث يمكن للمهاجمين غير المصرح لهم إرسال استعلامات متداخلة بعمق مع عوامل منطقية لتعليق عملية الخادم بشكل دائم. يتجاوز الثغرة الإصلاح السابق لـ CVE-2026-32944 ويتطلب إعادة تشغيل يدوية للخادم للتعافي.

🤖 AI Intelligence Analysis Analyzed: May 3, 2026 03:00

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1499.004 T1561.001 T1561.002

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Parse Server to version 8.6.55 or 9.6.0-alpha.44 or later. Implement network-level rate limiting and request size restrictions to prevent deeply nested query submissions. Monitor server processes for unresponsiveness and configure automated restart mechanisms. Disable or restrict access to logical operators in queries if upgrading is delayed.

🔧 خطوات المعالجة (العربية)

قم بالترقية الفورية إلى Parse Server الإصدار 8.6.55 أو 9.6.0-alpha.44 أو أحدث. طبق تحديد معدل على مستوى الشبكة وقيود حجم الطلب لمنع إرسال الاستعلامات المتداخلة بعمق. راقب عمليات الخادم للكشف عن عدم الاستجابة وقم بتكوين آليات إعادة التشغيل التلقائية. عطل أو قيد الوصول إلى العوامل المنطقية في الاستعلامات إذا تأخرت الترقية.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.12.1.1 A.12.1.2 A.12.6.1

🔗 References & Sources 5

🔗

https://github.com/parse-community/parse-server/commit/2581b5426047ce9cbcd3d9c0e8379e9c...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/commit/85994eff9e7b34cac7e1a2f579198502...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/pull/10257

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/pull/10258

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/security/advisories/GHSA-9fjp-q3c4-6w3j

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 45 entries

parseplatform:parse-server

parseplatform:parse-server:9.6.0

📊 CVSS Score

7.5

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.5

CWECWE-674

Exploit No

Patch ✓ Yes

Published 2026-03-24

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-674

🏢 Vendor Advisories

🔗 https://github.com/parse-community/parse-server/secu...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-33498

💬 Comments

Introduce Yourself

Sign In Required