CVE-2026-33508Parse Server是一个开源的后端解决方案。在8.6.56及9.6.0-alpha.45版本之前,其LiveQuery组件在处理WebSocket订阅请求时,未能正确强制执行requestComplexity.queryDepth配置限制。攻击者可构造包含深度嵌套逻辑运算符的恶意订阅请求,引发服务器过度递归和CPU资源耗尽,最终导致服务不可用或性能严重下降。
该漏洞位于Parse Server的LiveQuery组件,该组件允许客户端通过WebSocket实时订阅数据变更。漏洞的根本原因在于,服务端在处理WebSocket订阅请求时,未严格校验查询语句的嵌套深度(requestComplexity.queryDepth)。攻击者可以利用这一缺陷,构造包含极深层嵌套逻辑运算符(如$or、$and)的恶意订阅JSON数据。当服务器解析此类结构时,会触发不受限制的递归操作。这种过度的递归调用不仅会迅速消耗CPU计算资源,还可能导致调用栈溢出或进程阻塞。由于该组件未对查询复杂度进行有效拦截,单个恶意请求即可导致服务器响应迟缓甚至完全拒绝服务。