| タイトル | Parse PlatformのParse Serverにおける競合状態に関する脆弱性 |
|---|---|
| 概要 | Parse ServerはNode.jsを実行できるあらゆるインフラにデプロイ可能なオープンソースのバックエンドです。8.6.76以前および9.9.0-alpha.2より前のバージョンでは、MFAのSMSワンタイムパスワード(OTP)ログインパスにおいて競合状態が存在しており、同じOTPを含む2つの同時/loginリクエストが両方とも成功し、有効なセッショントークンを両方が受け取ることができました。そのため、OTPの一回限りの使用特性が破られていました。この脆弱性は、攻撃者が既に被害者のパスワードを所持し、アクティブなSMS OTPを傍受(例:SIMスワップ、ネットワークミラー、フィッシング中継)し、正当なログイン要求と競合させる必要があるため、実際の攻撃範囲は狭いです。この脆弱性は8.6.76および9.9.0-alpha.2で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月12日0:00 |
| 登録日 | 2026年5月28日14:40 |
| 最終更新日 | 2026年5月28日14:40 |
| CVSS3.0 : 警告 | |
| スコア | 5.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Parse Platform |
| Parse Server 8.6.76 未満 |
| Parse Server 9.0.0 以上 9.9.0 未満 |
| Parse Server 9.9.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:40 |
| 概要 | Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to 8.6.76 and 9.9.0-alpha.2, a race condition in the MFA SMS one-time password (OTP) login path allows two concurrent /login requests carrying the same OTP to both succeed and both receive valid session tokens, breaking the single-use property of the OTP. The vulnerability requires the attacker to already possess the victim's password and intercept the active SMS OTP (e.g. via SIM swap, network mirror, or phishing relay) and to race the legitimate login request, so the practical attack surface is narrow. This vulnerability is fixed in 8.6.76 and 9.9.0-alpha.2. |
|---|---|
| 公表日 | 2026年5月12日23:17 |
| 登録日 | 2026年5月13日4:12 |
| 最終更新日 | 2026年5月14日3:26 |