概要
Parse DashboardのAI Agent APIエンドポイントに認証不備の脆弱性(CVE-2026-27608)が報告されています。この脆弱性により、認証済みユーザーが本来アクセス権のない他のアプリケーションのデータにアクセスしたり、読み取り専用ユーザーが書き込み・削除操作を実行したりする可能性があります。影響を受けるのは、`agent`設定が有効になっているParse Dashboardの特定のバージョンです。
影響範囲
- 対象製品: Parse Dashboard
- 影響を受けるバージョン: 7.3.0-alpha.42 から 9.0.0-alpha.7 まで
- 影響を受ける条件: Parse Dashboardの設定において、`agent`設定ブロックが有効になっている場合のみ影響を受けます。`agent`設定がないダッシュボードは影響を受けません。
想定される影響
- 情報漏洩の可能性: 特定のアプリに認証されたユーザーが、URLのアプリIDを変更することで、他の任意のアプリのagentエンドポイントにアクセスし、本来参照できない情報を取得する可能性があります。
- データ改ざん・削除の可能性: 読み取り専用権限を持つユーザーが、実際にはフルマスターキーが付与されているため、リクエストボディで書き込み権限を指定することで、データの書き込みや削除といった操作を実行する可能性があります。これにより、意図しないデータの改ざんや消失につながる恐れがあります。
攻撃成立条件・悪用状況
攻撃成立条件
- Parse Dashboardが脆弱なバージョン(7.3.0-alpha.42から9.0.0-alpha.7)であること。
- Parse Dashboardの設定で`agent`設定ブロックが有効になっていること。
- 攻撃者がParse Dashboardへの認証済みアクセス権(任意のアプリに対するもの)を持っていること。
悪用状況
現時点では、この脆弱性の具体的な悪用状況に関する公開情報は報告されていません。
推奨対策
最優先で実施すべき対策
- Parse Dashboardのアップデート: 開発元から提供されている修正済みバージョン9.0.0-alpha.8以降へ速やかにアップデートしてください。このバージョンでは、アプリごとの認証チェックが追加され、読み取り専用ユーザーには書き込み権限が削除された`readOnlyMasterKey`が適用されます。
中長期的な対策
- システム全体のセキュリティパッチ適用計画に組み込み、常に最新のセキュリティ状態を維持するよう努めてください。
一時的な緩和策
- `agent`設定の削除: Parse Dashboardの設定ファイルから`agent`設定ブロックを削除することで、この脆弱性の影響を回避できます。この設定が不要な場合は、恒久的な対策が完了するまでの間、この緩和策を適用することを検討してください。
確認方法
- ご使用のParse Dashboardのバージョンが7.3.0-alpha.42から9.0.0-alpha.7の範囲内であるかを確認してください。
- Parse Dashboardの設定ファイルに`agent`設定ブロックが含まれているかを確認してください。