الثغرات ›

CVE-2026-34784

مرتفع

CWE-285 — نوع الضعف

                    نُشر: Mar 31, 2026                      ·  آخر تحديث: Apr 7, 2026                      ·  المصدر: NVD                

CVSS v3

7.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.71 and 9.7.1-alpha.1, file downloads via HTTP Range requests bypass the afterFind(Parse.File) trigger and its validators on storage adapters that support streaming (e.g. the default GridFS adapter). This allows access to files that should be protected by afterFind trigger authorization logic or built-in validators such as requireUser. This issue has been patched in versions 8.6.71 and 9.7.1-alpha.1.

🤖 ملخص AI

Parse Server versions prior to 8.6.71 and 9.7.1-alpha.1 allow unauthorized file access through HTTP Range requests that bypass afterFind triggers and validators. This vulnerability affects file downloads on storage adapters supporting streaming, potentially exposing protected files to unauthorized users.

📄 الوصف (العربية)

تسمح هذه الثغرة للمهاجمين بتجاوز آليات التفويض في Parse Server من خلال استخدام طلبات HTTP Range عند تنزيل الملفات. يؤثر هذا بشكل خاص على محولات التخزين التي تدعم البث مثل GridFS الافتراضي، مما يسمح بالوصول إلى الملفات التي يجب أن تكون محمية بواسطة منطق التفويض في afterFind.

🤖 ملخص تنفيذي (AI)

إصدارات Parse Server السابقة للإصدار 8.6.71 و 9.7.1-alpha.1 تسمح بالوصول غير المصرح به للملفات من خلال طلبات HTTP Range التي تتجاوز مشغلات afterFind والمدققين. تؤثر هذه الثغرة على تنزيلات الملفات على محولات التخزين التي تدعم البث، مما قد يعرض الملفات المحمية للمستخدمين غير المصرح لهم.

🤖 التحليل الذكي آخر تحليل: May 2, 2026 19:17

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1566 T1199 T1021

⚖️ درجة المخاطر السعودية (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Parse Server to version 8.6.71 or 9.7.1-alpha.1 or later. Review and audit all file access logs for unauthorized downloads via Range requests. Implement additional file access controls at the application and infrastructure level. Verify afterFind triggers are properly enforced on all file operations.

🔧 خطوات المعالجة (العربية)

قم بترقية Parse Server فوراً إلى الإصدار 8.6.71 أو 9.7.1-alpha.1 أو إصدار أحدث. راجع وتدقيق جميع سجلات الوصول إلى الملفات للتنزيلات غير المصرح بها عبر طلبات Range. طبق ضوابط وصول إضافية على مستوى التطبيق والبنية التحتية. تحقق من أن مشغلات afterFind يتم فرضها بشكل صحيح على جميع عمليات الملفات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1 A.9.4.3

🔗 المراجع والمصادر 5

🔗

https://github.com/parse-community/parse-server/commit/053109b3ee71815bc39ed84116c108ff...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/commit/a0b0c69fc44f87f80d793d257344e7dc...

security-advisories@github.com

Patch

🔗

https://github.com/parse-community/parse-server/pull/10361

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/parse-community/parse-server/pull/10362

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/parse-community/parse-server/security/advisories/GHSA-hpm8-9qx6-jvwv

security-advisories@github.com

Mitigation Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

parseplatform:parse-server

📊 CVSS Score

7.5

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.5

CWECWE-285

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-31

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

patch-available CWE-285

🏢 توجيهات البائع

🔗 https://github.com/parse-community/parse-server/secu...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-34784

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب