CVE-2026-34224

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2026-34224

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-34224.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2026-34224

Aliases

Published

2026-03-31T14:25:22.782Z

Modified

2026-04-06T15:27:04.154437127Z

Severity

2.1 (Low) CVSS_V4 - CVSS:4.0/AV:N/AC:H/AT:N/PR:H/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N CVSS Calculator

Summary

Parse Server: MFA single-use token bypass via concurrent authData login requests

Details

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.64 and 9.7.0-alpha.8, an attacker who possesses a valid authentication provider token and a single MFA recovery code or SMS one-time password can create multiple authenticated sessions by sending concurrent login requests via the authData login endpoint. This defeats the single-use guarantee of MFA recovery codes and SMS one-time passwords, allowing session persistence even after the legitimate user revokes detected sessions. This issue has been patched in versions 8.6.64 and 9.7.0-alpha.8.

Database specific

{
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2026/34xxx/CVE-2026-34224.json",
    "cna_assigner": "GitHub_M",
    "cwe_ids": [
        "CWE-367"
    ]
}

References

Affected packages

Git / github.com/parse-community/parse-server

Affected ranges

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

Fixed

cf886438e6622b15d5e5b8801a1cb6edd7968ff1

Database specific

{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "fixed": "8.6.64"
        }
    ]
}

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

532a461d30a6ed4457839f2caf5f30d5abf51a55

Fixed

aee2146e7e63ee3fa0e6290529ea6a9b529659b7

Database specific

{
    "versions": [
        {
            "introduced": "9.0.0"
        },
        {
            "fixed": "9.7.0-alpha.8"
        }
    ]
}

Affected versions

2.*

2.0.0

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

2.0.6

2.0.7

2.0.8

2.1.0

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.2.0

2.2.1

2.2.10

2.2.11

2.2.12

2.2.13

2.2.14

2.2.15

2.2.16

2.2.17

2.2.18

2.2.19

2.2.2

2.2.20

2.2.21

2.2.22

2.2.23

2.2.24

2.2.25

2.2.25-beta.1

2.2.3

2.2.4

2.2.5

2.2.6

2.2.7

2.2.8

2.2.9

2.3.0

2.3.0-alpha1

2.3.1

2.3.2

2.3.3

2.3.4

2.3.5

2.3.6

2.3.7

2.3.8

2.4.0

2.4.1

2.4.2

2.5.0

2.5.1

2.5.2

2.5.3

2.6.0

2.6.1

2.6.2

2.6.3

2.6.4

2.6.5

2.7.0

2.7.1

2.7.2

2.7.3

2.7.4

2.8.0

2.8.1

2.8.2

2.8.3

2.8.4

3.*

3.0.0

3.1.0

3.1.1

3.1.2

3.1.3

3.10.0

3.2.0

3.2.1

3.2.2

3.2.3

3.3.0

3.4.0

3.4.1

3.4.2

3.4.3

3.4.4

3.5.0

3.6.0

3.7.0

3.7.1

3.7.2

3.8.0

3.9.0

4.*

4.0.0

4.0.1

4.0.10

4.0.11

4.0.12

4.0.13

4.0.14

4.0.2

4.0.3

4.0.4

4.0.6

4.0.7

4.0.8

4.0.9

4.1.0

4.10.0

4.10.1

4.10.10

4.10.11

4.10.12

4.10.13

4.10.14

4.10.15

4.10.16

4.10.17

4.10.18

4.10.19

4.10.2

4.10.20

4.10.3

4.10.4

4.10.5

4.10.6

4.10.7

4.10.8

4.10.9

4.2.0

4.3.0

4.4.0

4.5.0

4.5.2

4.6.0

4.7.0

4.8.0

4.8.1

4.8.2

4.8.3

4.8.4

4.8.5

4.9.0

4.9.1

4.9.2

4.9.3

5.*

5.0.0

5.0.0-alpha.1

5.0.0-alpha.10

5.0.0-alpha.11

5.0.0-alpha.12

5.0.0-alpha.13

5.0.0-alpha.14

5.0.0-alpha.15

5.0.0-alpha.16

5.0.0-alpha.17

5.0.0-alpha.18

5.0.0-alpha.19

5.0.0-alpha.2

5.0.0-alpha.20

5.0.0-alpha.21

5.0.0-alpha.22

5.0.0-alpha.23

5.0.0-alpha.24

5.0.0-alpha.25

5.0.0-alpha.26

5.0.0-alpha.27

5.0.0-alpha.28

5.0.0-alpha.29

5.0.0-alpha.3

5.0.0-alpha.4

5.0.0-alpha.5

5.0.0-alpha.6

5.0.0-alpha.7

5.0.0-alpha.8

5.0.0-alpha.9

5.0.0-beta.1

5.0.0-beta.10

5.0.0-beta.2

5.0.0-beta.3

5.0.0-beta.4

5.0.0-beta.5

5.0.0-beta.6

5.0.0-beta.7

5.0.0-beta.8

5.0.0-beta.9

5.1.0

5.1.1

5.2.0

5.2.0-alpha.1

5.2.0-alpha.2

5.2.0-alpha.3

5.2.0-beta.1

5.2.0-beta.2

5.2.1

5.2.1-alpha.1

5.2.1-alpha.2

5.2.2

5.2.3

5.2.4

5.2.5

5.2.6

5.2.7

5.2.8

5.3.0

5.3.0-alpha.1

5.3.0-alpha.10

5.3.0-alpha.11

5.3.0-alpha.12

5.3.0-alpha.13

5.3.0-alpha.14

5.3.0-alpha.15

5.3.0-alpha.16

5.3.0-alpha.17

5.3.0-alpha.18

5.3.0-alpha.19

5.3.0-alpha.2

5.3.0-alpha.20

5.3.0-alpha.21

5.3.0-alpha.22

5.3.0-alpha.23

5.3.0-alpha.24

5.3.0-alpha.25

5.3.0-alpha.26

5.3.0-alpha.27

5.3.0-alpha.28

5.3.0-alpha.29

5.3.0-alpha.3

5.3.0-alpha.30

5.3.0-alpha.31

5.3.0-alpha.32

5.3.0-alpha.4

5.3.0-alpha.5

5.3.0-alpha.6

5.3.0-alpha.7

5.3.0-alpha.8

5.3.0-alpha.9

5.3.0-beta.1

5.3.1

5.3.2

5.3.3

5.4.0

5.4.0-alpha.1

5.4.0-beta.1

5.4.1

5.4.2

5.4.3

5.5.0

5.5.1

5.5.2

5.5.3

5.5.4

5.5.5

5.5.6

5.6.0

6.*

6.0.0

6.0.0-alpha.1

6.0.0-alpha.10

6.0.0-alpha.11

6.0.0-alpha.12

6.0.0-alpha.13

6.0.0-alpha.14

6.0.0-alpha.15

6.0.0-alpha.16

6.0.0-alpha.17

6.0.0-alpha.18

6.0.0-alpha.19

6.0.0-alpha.2

6.0.0-alpha.20

6.0.0-alpha.21

6.0.0-alpha.22

6.0.0-alpha.23

6.0.0-alpha.24

6.0.0-alpha.25

6.0.0-alpha.26

6.0.0-alpha.27

6.0.0-alpha.28

6.0.0-alpha.29

6.0.0-alpha.3

6.0.0-alpha.30

6.0.0-alpha.31

6.0.0-alpha.32

6.0.0-alpha.33

6.0.0-alpha.34

6.0.0-alpha.35

6.0.0-alpha.4

6.0.0-alpha.5

6.0.0-alpha.6

6.0.0-alpha.7

6.0.0-alpha.8

6.0.0-alpha.9

6.0.0-beta.1

6.1.0

6.1.0-alpha.1

6.1.0-alpha.10

6.1.0-alpha.11

6.1.0-alpha.12

6.1.0-alpha.13

6.1.0-alpha.14

6.1.0-alpha.15

6.1.0-alpha.16

6.1.0-alpha.17

6.1.0-alpha.18

6.1.0-alpha.19

6.1.0-alpha.2

6.1.0-alpha.20

6.1.0-alpha.3

6.1.0-alpha.4

6.1.0-alpha.5

6.1.0-alpha.6

6.1.0-alpha.7

6.1.0-alpha.8

6.1.0-alpha.9

6.1.0-beta.1

6.1.0-beta.2

6.2.0

6.2.1

6.2.2

6.3.0

6.3.0-alpha.1

6.3.0-alpha.2

6.3.0-alpha.3

6.3.0-alpha.4

6.3.0-alpha.5

6.3.0-alpha.6

6.3.0-alpha.7

6.3.0-alpha.8

6.3.0-alpha.9

6.3.0-beta.1

6.3.1

6.4.0

6.4.0-alpha.1

6.4.0-alpha.2

6.4.0-alpha.3

6.4.0-alpha.4

6.4.0-alpha.5

6.4.0-alpha.6

6.4.0-alpha.7

6.4.0-alpha.8

6.4.0-beta.1

6.5.0

6.5.0-alpha.1

6.5.0-alpha.2

6.5.0-beta.1

6.5.1

6.5.10

6.5.11

6.5.2

6.5.3

6.5.4

6.5.5

6.5.6

6.5.7

6.5.8

6.5.9

7.*

7.0.0

7.0.0-alpha.1

7.0.0-alpha.10

7.0.0-alpha.11

7.0.0-alpha.12

7.0.0-alpha.13

7.0.0-alpha.14

7.0.0-alpha.15

7.0.0-alpha.16

7.0.0-alpha.17

7.0.0-alpha.18

7.0.0-alpha.19

7.0.0-alpha.2

7.0.0-alpha.20

7.0.0-alpha.21

7.0.0-alpha.22

7.0.0-alpha.23

7.0.0-alpha.24

7.0.0-alpha.25

7.0.0-alpha.26

7.0.0-alpha.27

7.0.0-alpha.28

7.0.0-alpha.29

7.0.0-alpha.3

7.0.0-alpha.30

7.0.0-alpha.31

7.0.0-alpha.4

7.0.0-alpha.5

7.0.0-alpha.6

7.0.0-alpha.7

7.0.0-alpha.8

7.0.0-alpha.9

7.0.0-beta.1

7.1.0

7.1.0-alpha.1

7.1.0-alpha.10

7.1.0-alpha.11

7.1.0-alpha.12

7.1.0-alpha.13

7.1.0-alpha.14

7.1.0-alpha.15

7.1.0-alpha.16

7.1.0-alpha.2

7.1.0-alpha.3

7.1.0-alpha.4

7.1.0-alpha.5

7.1.0-alpha.6

7.1.0-alpha.7

7.1.0-alpha.8

7.1.0-alpha.9

7.1.0-beta.1

7.2.0

7.2.0-beta.1

7.3.0

7.3.0-alpha.1

7.3.0-alpha.2

7.3.0-alpha.3

7.3.0-alpha.4

7.3.0-alpha.5

7.3.0-alpha.6

7.3.0-alpha.7

7.3.0-alpha.8

7.3.0-alpha.9

7.3.0-beta.1

7.3.1-alpha.1

7.4.0

7.4.0-alpha.1

7.4.0-alpha.2

7.4.0-alpha.3

7.4.0-alpha.4

7.4.0-alpha.5

7.4.0-alpha.6

7.4.0-alpha.7

7.4.0-beta.1

7.5.0

7.5.1

7.5.2

7.5.3

7.5.4

8.*

8.0.0

8.0.0-alpha.1

8.0.0-alpha.10

8.0.0-alpha.11

8.0.0-alpha.12

8.0.0-alpha.13

8.0.0-alpha.14

8.0.0-alpha.15

8.0.0-alpha.2

8.0.0-alpha.3

8.0.0-alpha.4

8.0.0-alpha.5

8.0.0-alpha.6

8.0.0-alpha.7

8.0.0-alpha.8

8.0.0-alpha.9

8.0.1

8.0.1-alpha.1

8.0.1-alpha.2

8.0.2

8.0.2-alpha.1

8.1.0

8.1.0-alpha.1

8.1.0-alpha.2

8.1.0-alpha.3

8.1.0-alpha.4

8.1.1-alpha.1

8.2.0

8.2.0-alpha.1

8.2.1

8.2.1-alpha.1

8.2.1-alpha.2

8.2.2

8.2.2-alpha.1

8.2.3

8.2.3-alpha.1

8.2.4

8.2.4-alpha.1

8.2.5

8.2.5-alpha.1

8.3.0

8.3.0-alpha.1

8.3.0-alpha.10

8.3.0-alpha.11

8.3.0-alpha.12

8.3.0-alpha.13

8.3.0-alpha.14

8.3.0-alpha.2

8.3.0-alpha.3

8.3.0-alpha.4

8.3.0-alpha.5

8.3.0-alpha.6

8.3.0-alpha.7

8.3.0-alpha.8

8.3.0-alpha.9

8.3.1-alpha.1

8.4.0

8.4.0-alpha.1

8.4.0-alpha.2

8.5.0

8.5.0-alpha.1

8.5.0-alpha.10

8.5.0-alpha.11

8.5.0-alpha.12

8.5.0-alpha.13

8.5.0-alpha.14

8.5.0-alpha.15

8.5.0-alpha.16

8.5.0-alpha.17

8.5.0-alpha.18

8.5.0-alpha.2

8.5.0-alpha.3

8.5.0-alpha.4

8.5.0-alpha.5

8.5.0-alpha.6

8.5.0-alpha.7

8.5.0-alpha.8

8.5.0-alpha.9

8.6.0

8.6.0-alpha.1

8.6.0-alpha.2

8.6.1

8.6.10

8.6.11

8.6.12

8.6.13

8.6.14

8.6.15

8.6.16

8.6.17

8.6.18

8.6.19

8.6.2

8.6.20

8.6.21

8.6.22

8.6.23

8.6.24

8.6.25

8.6.26

8.6.27

8.6.28

8.6.29

8.6.3

8.6.30

8.6.31

8.6.32

8.6.33

8.6.34

8.6.35

8.6.36

8.6.37

8.6.38

8.6.39

8.6.4

8.6.40

8.6.41

8.6.42

8.6.43

8.6.44

8.6.45

8.6.46

8.6.47

8.6.48

8.6.49

8.6.5

8.6.50

8.6.51

8.6.52

8.6.53

8.6.54

8.6.55

8.6.56

8.6.57

8.6.58

8.6.59

8.6.6

8.6.60

8.6.61

8.6.62

8.6.63

8.6.7

8.6.8

8.6.9

9.*

9.0.0

9.0.0-alpha.1

9.0.0-alpha.10

9.0.0-alpha.11

9.0.0-alpha.2

9.0.0-alpha.3

9.0.0-alpha.4

9.0.0-alpha.5

9.0.0-alpha.6

9.0.0-alpha.7

9.0.0-alpha.8

9.0.0-alpha.9

9.1.0

9.1.0-alpha.1

9.1.0-alpha.2

9.1.0-alpha.3

9.1.0-alpha.4

9.1.1

9.1.1-alpha.1

9.2.0

9.2.0-alpha.1

9.2.0-alpha.2

9.2.0-alpha.3

9.2.0-alpha.4

9.2.0-alpha.5

9.2.1-alpha.1

9.2.1-alpha.2

9.3.0

9.3.0-alpha.1

9.3.0-alpha.2

9.3.0-alpha.3

9.3.0-alpha.4

9.3.0-alpha.5

9.3.0-alpha.6

9.3.0-alpha.7

9.3.0-alpha.8

9.3.0-alpha.9

9.3.1

9.3.1-alpha.1

9.3.1-alpha.2

9.3.1-alpha.3

9.3.1-alpha.4

9.4.0

9.4.0-alpha.1

9.4.0-alpha.2

9.4.1

9.4.1-alpha.1

9.4.1-alpha.2

9.4.1-alpha.3

9.5.0

9.5.0-alpha.1

9.5.0-alpha.10

9.5.0-alpha.11

9.5.0-alpha.12

9.5.0-alpha.13

9.5.0-alpha.14

9.5.0-alpha.2

9.5.0-alpha.3

9.5.0-alpha.4

9.5.0-alpha.5

9.5.0-alpha.6

9.5.0-alpha.7

9.5.0-alpha.8

9.5.0-alpha.9

9.5.1

9.5.1-alpha.1

9.5.1-alpha.2

9.5.2-alpha.1

9.5.2-alpha.10

9.5.2-alpha.11

9.5.2-alpha.12

9.5.2-alpha.13

9.5.2-alpha.14

9.5.2-alpha.2

9.5.2-alpha.3

9.5.2-alpha.4

9.5.2-alpha.5

9.5.2-alpha.6

9.5.2-alpha.7

9.5.2-alpha.8

9.5.2-alpha.9

9.6.0

9.6.0-alpha.1

9.6.0-alpha.10

9.6.0-alpha.11

9.6.0-alpha.12

9.6.0-alpha.13

9.6.0-alpha.14

9.6.0-alpha.15

9.6.0-alpha.16

9.6.0-alpha.17

9.6.0-alpha.18

9.6.0-alpha.19

9.6.0-alpha.2

9.6.0-alpha.20

9.6.0-alpha.21

9.6.0-alpha.22

9.6.0-alpha.23

9.6.0-alpha.24

9.6.0-alpha.25

9.6.0-alpha.26

9.6.0-alpha.27

9.6.0-alpha.28

9.6.0-alpha.29

9.6.0-alpha.3

9.6.0-alpha.30

9.6.0-alpha.31

9.6.0-alpha.32

9.6.0-alpha.33

9.6.0-alpha.34

9.6.0-alpha.35

9.6.0-alpha.36

9.6.0-alpha.37

9.6.0-alpha.38

9.6.0-alpha.39

9.6.0-alpha.4

9.6.0-alpha.40

9.6.0-alpha.41

9.6.0-alpha.42

9.6.0-alpha.43

9.6.0-alpha.44

9.6.0-alpha.45

9.6.0-alpha.46

9.6.0-alpha.47

9.6.0-alpha.48

9.6.0-alpha.49

9.6.0-alpha.5

9.6.0-alpha.50

9.6.0-alpha.51

9.6.0-alpha.52

9.6.0-alpha.53

9.6.0-alpha.54

9.6.0-alpha.55

9.6.0-alpha.56

9.6.0-alpha.6

9.6.0-alpha.7

9.6.0-alpha.8

9.6.0-alpha.9

9.6.1

9.6.1-alpha.1

9.7.0

9.7.0-alpha.1

9.7.0-alpha.10

9.7.0-alpha.11

9.7.0-alpha.12

9.7.0-alpha.13

9.7.0-alpha.14

9.7.0-alpha.15

9.7.0-alpha.16

9.7.0-alpha.17

9.7.0-alpha.18

9.7.0-alpha.2

9.7.0-alpha.3

9.7.0-alpha.4

9.7.0-alpha.5

9.7.0-alpha.6

9.7.0-alpha.7

9.7.0-alpha.8

9.7.0-alpha.9

9.7.1-alpha.1

9.7.1-alpha.2

9.7.1-alpha.3

9.7.1-alpha.4

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-34224.json"