CVE-2026-33527Parse Server是一个基于Node.js的开源后端框架。在8.6.57和9.6.0-alpha.48之前的版本中存在一个安全漏洞。已认证的用户可以通过REST API更新自己的会话时,覆盖服务器生成的会话字段(如expiresAt和createdWith)。攻击者利用此漏洞可以绕过服务器配置的会话生命周期策略,将会话有效期无限延长,导致会话永久有效,增加了账户被劫持的风险。
该漏洞源于Parse Server在处理会话更新请求时的逻辑缺陷。正常情况下,`expiresAt`(过期时间)和`createdWith`(创建方式)等关键字段应由服务器端严格控制,客户端不应具备修改权限。然而,在受影响版本中,服务器未对更新请求中的这些敏感字段进行严格的校验或过滤。攻击者只需在发送给REST API的PUT请求中包含一个恶意构造的JSON对象,将`expiresAt`的时间戳修改为未来的某个时间点,服务器便会接受该更新并将其持久化到数据库中。这导致服务器原本配置的会话超时机制失效,攻击者的会话不会自动过期,从而实现了长期未授权访问权限的维持。