CVE-2026-33498Parse Server是一个可部署在Node.js环境下的开源后端解决方案。在其8.6.55和9.6.0-alpha.44之前的版本中,存在一个严重的安全缺陷。未经身份认证的攻击者可构造包含深度嵌套逻辑运算符的恶意HTTP请求发送至服务器,导致Parse Server进程永久挂起,服务完全瘫痪且需手动重启。该漏洞实质上是针对此前CVE-2026-32944补丁的绕过攻击,严重影响了服务的可用性。
该漏洞源于Parse Server在处理复杂查询对象时的解析逻辑缺陷。尽管之前的修复(针对CVE-2026-32944)试图限制查询的嵌套深度以防止资源耗尽,但攻击者可以通过精心构造包含逻辑运算符(如$or, $and)的深度嵌套查询来绕过这一限制。当Parse Server尝试解析并执行这种特制的查询时,会触发极端的计算复杂度或死循环,导致Node.js事件循环被阻塞。由于Parse Server通常是单线程运行,这种阻塞会导致整个进程停止响应所有后续请求,形成拒绝服务状态,直到管理员进行手动干预。