概要
Parse DashboardのAI Agent APIエンドポイント(POST /apps/:appId/agent)に、CSRF(クロスサイトリクエストフォージェリ)保護が不足している脆弱性(CVE-2026-27609)が報告されました。この脆弱性により、攻撃者は認証済みユーザーのセッションを利用して、悪意のあるリクエストを送信させる可能性があります。本脆弱性の深刻度は「HIGH」(CVSSスコア 8.3)と評価されています。
影響範囲
本脆弱性の影響を受けるのは、Parse Dashboardの以下のバージョンです。
- バージョン 7.3.0-alpha.42 から 9.0.0-alpha.7
特に、ダッシュボードの設定にagentコンフィグレーションブロックが含まれている場合に影響があると報告されています。agentコンフィグレーションがないダッシュボードは影響を受けないとされています。
想定される影響
認証済みのParse Dashboardユーザーが、攻撃者によって細工された悪意のあるウェブページを閲覧した場合、そのユーザーのセッションを利用して、意図しないAPIリクエストが実行される可能性があります。これにより、AI Agent APIを通じて予期せぬ操作が行われる恐れがあります。具体的な影響は、AI Agent APIの機能に依存します。
攻撃成立条件・悪用状況
攻撃成立条件
- 攻撃対象のParse Dashboardが脆弱なバージョン(7.3.0-alpha.42から9.0.0-alpha.7)であること。
- ダッシュボード設定に
agentコンフィグレーションブロックが含まれていること。 - 攻撃者が細工した悪意のあるページを、認証済みのParse Dashboardユーザーが閲覧すること。
悪用状況
現時点では、この脆弱性の具体的な悪用状況に関する情報は報告されていません。
推奨対策
今すぐできる対策(最優先)
- Parse Dashboardをバージョン 9.0.0-alpha.8 以降にアップデートしてください。このバージョンでは、CSRFミドルウェアが追加され、CSRFトークンがダッシュボードページに埋め込まれることで脆弱性が修正されています。
一時的な緩和策
アップデートがすぐに困難な場合は、以下の緩和策を検討してください。
- ダッシュボード設定から
agentコンフィグレーションブロックを削除してください。agentコンフィグレーションがないダッシュボードは影響を受けないと報告されています。
確認方法
- ご使用のParse Dashboardのバージョンを確認し、影響を受けるバージョン範囲(7.3.0-alpha.42から9.0.0-alpha.7)に含まれていないか確認してください。
- また、ダッシュボードの設定ファイルを確認し、
agentコンフィグレーションブロックが存在するかどうかを確認してください。
参考情報
CVE-2026-27609 – Parse Dashboard Missing CSRF Protection on Agent Endpoint