关键信息总结 漏洞详情 标题: Account takeover via JWT algorithm confusion in Google auth adapter 漏洞标识: GHSA-4q3h-vp4r-prv2 CVE ID: CVE-2026-27804 包信息 包名: parse-server (npm) 影响版本: - >= 9.0.0 <= 9.3.1-alpha.3 - <= 8.6.2 修复版本: - 9.3.1-alpha.4 - 8.6.3 漏洞描述 影响: 未认证的攻击者可以通过使用 来伪造 Google 认证令牌,以任何与 Google 帐户关联的用户身份登录,无需知道其凭据。 修补措施 修复: 硬编码预期的 RS256 算法,而不是依赖 JWT 标头,并用 忽略未知 key ID 的 替换 Google 适配器的自定义密钥获取器。 绕过方法 建议: 禁用 Google 认证,直到可以升级。 参考资料 GitHub 建议: GHSA-4q3h-vp4r-prv2 Parse Server 9.3.1-alpha.4: 修复链接 Parse Server 8.6.3: 修复链接 严重性评分 CVSS v4.0: 9.1/10 攻击向量: Network 攻击复杂度: Low 影响分类: High (Confidentiality, Integrity) 弱点分类 CWE-327 CWE-345 信用 报告者: sebastianosrt 协调者: mtrezza