CVE-2026-27608— Parse Dashboard 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-27608の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Parse Dashboard Missing Authorization on Agent Endpoint
ソース: NVD (National Vulnerability Database)
脆弱性説明
Parse Dashboard is a standalone dashboard for managing Parse Server apps. In versions 7.3.0-alpha.42 through 9.0.0-alpha.7, the AI Agent API endpoint (`POST /apps/:appId/agent`) does not enforce authorization. Authenticated users scoped to specific apps can access any other app's agent endpoint by changing the app ID in the URL. Read-only users are given the full master key instead of the read-only master key and can supply write permissions in the request body to perform write and delete operations. Only dashboards with `agent` configuration enabled are affected. The fix in version 9.0.0-alpha.8 adds per-app authorization checks and restricts read-only users to the `readOnlyMasterKey` with write permissions stripped server-side. As a workaround, remove the `agent` configuration block from your dashboard configuration. Dashboards without an `agent` config are not affected.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制缺失
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Parse Dashboard 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Parse Dashboard是Parse Platform开源的一个仪表盘工具。 Parse Dashboard 7.3.0-alpha.42至9.0.0-alpha.7版本存在安全漏洞,该漏洞源于AI Agent API端点未强制执行授权,可能导致经过身份验证的用户访问任何其他应用程序的代理端点。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| parse-community | parse-dashboard | >= 7.3.0-alpha.42, < 9.0.0-alpha.8 | - |
II. CVE-2026-27608の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-27608のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · parse-community · 2026-02-25 · 5 CVEs total
| CVE-2026-27595 | Parse Dashboard has incomplete authentication on AI Agent endpoint | |
| CVE-2026-27610 | Parse Dashboard Has a Cache Key Collision that Leaks Master Key to Read-Only Sessions | |
| CVE-2026-27609 | Parse Dashboard Missing CSRF Protection on Agent Endpoint | |
| CVE-2026-27804 | Parse Server: Account takeover via JWT algorithm confusion in Google auth adapter |
IV. 関連脆弱性
同じベンダー: parse-community
- CVE-2026-39381
Parse Server's Endpoint `/sessions/me` bypasses `_Session` ` - CVE-2026-39321
Parse Server has a login timing side-channel reveals user ex - CVE-2026-35200
Parse Server has a file upload Content-Type override via ext - CVE-2026-34784
Parse Server: Streaming file download bypasses afterFind fil - CVE-2026-34215
Parse Server: Auth data exposed via verify password endpoint
同じ弱点: CWE-862
- CVE-2021-47932
WordPress TheCartPress 1.5.3.6 Privilege Escalation Unauthen - CVE-2025-15634
HCL BigFix WebUI is affected by a missing authorization vuln - CVE-2026-42297
Argo Workflows Is Missing Authorization in Sync ConfigMap Pr - CVE-2026-42174
Kirby: User avatar creation, replacement and deletion are no - CVE-2026-42137
Kirby: `pages.access/list` and `files.access/list` permissio
V. CVE-2026-27608へのコメント
まだコメントはありません