cve-2026-33409 - RunkIntel

# CVE-2026-33409 - Parse Server Authentication Bypass (CVSS 9.1) > **CRÍTICO | CVSS 9.1 | Patch disponível** - Bypass de autenticação no [[Parse Server]] permite fazer login como qualquer usuário que tenha um provider OAuth de terceiros vinculado, sem necessidade de credenciais. ## Visão Geral **CVE-2026-33409** é uma vulnerabilidade crítica de bypass de autenticação no [[Parse Server]] (plataforma open-source de backend para aplicações móveis e web). A falha permite que um atacante não autenticado faça login como qualquer usuário que tenha um provider de autenticação de terceiros (Google, Facebook, GitHub, etc.) vinculado à sua conta, sem precisar de credenciais válidas. | Campo | Detalhe | |-------|---------| | **Produto** | Parse Platform / Parse Server | | **Versões afetadas** | < 8.6.52; 9.0.0 – 9.6.0-alpha.41 | | **Versões corrigidas** | 8.6.52, 9.6.0-alpha.41 | | **CVSS v3.1** | 9.1 (CRITICAL) | | **CWE** | CWE-287 (Improper Authentication) | | **Patch** | ✅ Disponível | ## Impacto - **Acesso não autorizado** a qualquer conta de usuário com OAuth vinculado - **Comprometimento de dados** de usuários - perfis, dados pessoais, sessões ativas - Em aplicações com Parse Server como backend: acesso a todos os dados armazenados no backend - Escalada de privilégios se usuários administrativos tiverem OAuth vinculado ## Contexto de Risco O Parse Server é frequentemente utilizado como backend de aplicações móveis e web por startups e desenvolvedores independentes, especialmente em ecossistemas com recursos limitados de segurança. A vulnerabilidade é particularmente perigosa porque: 1. OAuth é frequentemente configurado como método principal de autenticação 2. Administradores frequentemente têm contas com OAuth vinculado 3. A exploração não requer conhecimento prévio da senha - apenas o ID do usuário alvo ## Mitigação ```bash # Atualizar Parse Server via npm npm update parse-server # Verificar versão instalada npm list parse-server # Versões seguras: # 8.x: >= 8.6.52 # 9.x alpha: >= 9.6.0-alpha.41 ``` ## Detecção Monitorar logs do Parse Server para: - Tentativas de autenticação com providers de terceiros sem token válido - Múltiplas tentativas de login com diferentes `authData` para o mesmo `objectId` - Padrão de [[t1078-valid-accounts]] com autenticação anômala via OAuth ## Referências - NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-33409 - Parse Platform GitHub Security Advisory ## Contexto no Vault - [[_vulnerabilities]] - índice de vulnerabilidades críticas - [[t1078-valid-accounts]] - técnica de uso de credenciais válidas/bypass - [[t1550-use-alternate-authentication-material|T1550 - Use Alternate Authentication Material]] - autenticação alternativa - [[t1190-exploit-public-facing-application]] - exploração de aplicações expostas - [[_defenses]] - hub defensivo com controles aplicáveis