Vulnerabilities ›

CVE-2026-33539

High

CWE-89 — Weakness Type

                    Published: Mar 24, 2026                      ·  Modified: Mar 30, 2026                      ·  Source: NVD                

CVSS v3

7.2

🔗 NVD Official

📄 Description (English)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.59 and 9.6.0-alpha.53, an attacker with master key access can execute arbitrary SQL statements on the PostgreSQL database by injecting SQL metacharacters into field name parameters of the aggregate $group pipeline stage or the distinct operation. This allows privilege escalation from Parse Server application-level administrator to PostgreSQL database-level access. Only Parse Server deployments using PostgreSQL are affected. MongoDB deployments are not affected. This issue has been patched in versions 8.6.59 and 9.6.0-alpha.53.

🤖 AI Executive Summary

Parse Server versions prior to 8.6.59 and 9.6.0-alpha.53 are vulnerable to SQL injection through field name parameters in aggregate operations, allowing attackers with master key access to execute arbitrary SQL on PostgreSQL databases. This vulnerability enables privilege escalation from application-level administrator to database-level access on affected PostgreSQL deployments.

📄 Description (Arabic)

يؤثر هذا الضعف على خوادم Parse التي تستخدم PostgreSQL كقاعدة بيانات خلفية، حيث يمكن للمهاجمين الذين لديهم وصول المفتاح الرئيسي حقن أحرف SQL في معاملات أسماء الحقول. يسمح الضعف بتنفيذ عمليات SQL تعسفية وتصعيد الامتيازات إلى مستوى قاعدة البيانات. لا تتأثر نشرات MongoDB بهذا الضعف.

🤖 ملخص تنفيذي (AI)

خوادم Parse السابقة للإصدارات 8.6.59 و 9.6.0-alpha.53 عرضة لحقن SQL من خلال معاملات أسماء الحقول في العمليات المجمعة، مما يسمح للمهاجمين الذين لديهم وصول مفتاح رئيسي بتنفيذ SQL تعسفي على قواعد بيانات PostgreSQL. يمكّن هذا الضعف من تصعيد الامتيازات من مسؤول على مستوى التطبيق إلى وصول على مستوى قاعدة البيانات.

🤖 AI Intelligence Analysis Analyzed: May 8, 2026 20:36

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1190 T1078 T1548

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Parse Server immediately to version 8.6.59 or 9.6.0-alpha.53 or later. Restrict master key access to trusted administrators only. Implement network segmentation to limit database access. Monitor PostgreSQL query logs for suspicious SQL patterns. Review and audit all users with master key privileges.

🔧 خطوات المعالجة (العربية)

قم بترقية Parse Server فوراً إلى الإصدار 8.6.59 أو 9.6.0-alpha.53 أو أحدث. قيّد وصول المفتاح الرئيسي للمسؤولين الموثوقين فقط. طبّق تقسيم الشبكة لتحديد وصول قاعدة البيانات. راقب سجلات استعلامات PostgreSQL للأنماط المريبة. راجع وتدقيق جميع المستخدمين الذين لديهم امتيازات المفتاح الرئيسي.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.2.1 5.2.2 5.3.1

🔵 SAMA CSF

CC-6.1 CC-6.2 CC-7.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.1

🔗 References & Sources 5

🔗

https://github.com/parse-community/parse-server/commit/03249f9bf5b8783c8b848f84dab791ff...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/commit/bdddab5f8b61a40cb8fc62dd895887bd...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/pull/10272

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/pull/10273

security-advisories@github.com

Issue Tracking

🔗

https://github.com/parse-community/parse-server/security/advisories/GHSA-p2w6-rmh7-w8q3

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 50 entries

parseplatform:parse-server

parseplatform:parse-server:9.6.0

📊 CVSS Score

7.2

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredH — High

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score7.2

CWECWE-89

Exploit No

Patch ✓ Yes

Published 2026-03-24

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

patch-available CWE-89

🏢 Vendor Advisories

🔗 https://github.com/parse-community/parse-server/secu...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-33539

💬 Comments

Introduce Yourself

Sign In Required