الثغرات ›

CVE-2026-33508

مرتفع

CWE-674 — نوع الضعف

                    نُشر: Mar 24, 2026                      ·  آخر تحديث: Mar 30, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.56 and 9.6.0-alpha.45, Parse Server's LiveQuery component does not enforce the requestComplexity.queryDepth configuration setting when processing WebSocket subscription requests. An attacker can send a subscription with deeply nested logical operators, causing excessive recursion and CPU consumption that degrades or disrupts service availability. This issue has been patched in versions 8.6.56 and 9.6.0-alpha.45.

🤖 ملخص AI

Parse Server's LiveQuery component fails to enforce query depth limits on WebSocket subscriptions, allowing attackers to send deeply nested logical operators causing excessive CPU consumption and denial of service. This vulnerability affects versions prior to 8.6.56 and 9.6.0-alpha.45.

📄 الوصف (العربية)

يفشل مكون LiveQuery في Parse Server في فرض حدود عمق الاستعلام على طلبات الاشتراك عبر WebSocket، مما يسمح للمهاجمين بإرسال عوامل منطقية متداخلة بعمق يسبب استهلاك CPU مفرط. يؤثر هذا على الإصدارات السابقة للإصدار 8.6.56 و9.6.0-alpha.45.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 3, 2026 03:00

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1499.004 T1498.002

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Parse Server to version 8.6.56 or 9.6.0-alpha.45 or later. Implement network-level rate limiting on WebSocket connections. Monitor CPU usage and implement alerting for abnormal subscription patterns. Review and enforce requestComplexity.queryDepth configuration across all Parse Server deployments.

🔧 خطوات المعالجة (العربية)

قم بترقية Parse Server فوراً إلى الإصدار 8.6.56 أو 9.6.0-alpha.45 أو أحدث. طبق تحديد معدل على مستوى الشبكة لاتصالات WebSocket. راقب استخدام المعالج وطبق التنبيهات للأنماط غير الطبيعية. راجع وفرض إعدادات requestComplexity.queryDepth عبر جميع نشرات Parse Server.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.12.6.1 A.13.1.3

🔗 المراجع والمصادر 5

🔗

https://github.com/parse-community/parse-server/commit/060d27053fb0fadf613c25aabab7fe0c...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/commit/2126fe4e12f9b399dc6b4b6a3fa70cb1...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/pull/10259

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/pull/10260

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/security/advisories/GHSA-6qh5-m6g3-xhq6

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 46 منتج

parseplatform:parse-server

parseplatform:parse-server:9.6.0

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityN — None / Network

IntegrityN — None / Network

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-674

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-24

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-674

🏢 توجيهات البائع

🔗 https://github.com/parse-community/parse-server/secu...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-33508

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب