CVE-2026-34532

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2026-34532

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-34532.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2026-34532

Aliases

GHSA-vpj2-qq7w-5qq6

Published

2026-03-31T14:42:10.481Z

Modified

2026-04-02T13:32:11.504360Z

Severity

9.1 (Critical) CVSS_V4 - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS Calculator

Summary

Parse Server: Cloud function validator bypass via prototype chain traversal

Details

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.67 and 9.7.0-alpha.11, an attacker can bypass Cloud Function validator access controls by appending "prototype.constructor" to the function name in the URL. When a Cloud Function handler is declared using the function keyword and its validator is a plain object or arrow function, the trigger store traversal resolves the handler through its own prototype chain while the validator store fails to mirror this traversal, causing all access control enforcement to be skipped. This allows unauthenticated callers to invoke Cloud Functions that are meant to be protected by validators such as requireUser, requireMaster, or custom validation logic. This issue has been patched in versions 8.6.67 and 9.7.0-alpha.11.

Database specific

{
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2026/34xxx/CVE-2026-34532.json",
    "cna_assigner": "GitHub_M",
    "cwe_ids": [
        "CWE-863"
    ]
}

References

Affected packages

Git / github.com/parse-community/parse-server

Affected ranges

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

Fixed

7e4b4c13f9554055588a7373f267bf21e8537016

Database specific

{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "fixed": "8.6.67"
        }
    ]
}

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

532a461d30a6ed4457839f2caf5f30d5abf51a55

Fixed

458b718cb8df222b16119b030f1ee95277ed3971

Database specific

{
    "versions": [
        {
            "introduced": "9.0.0"
        },
        {
            "fixed": "9.7.0-alpha.11"
        }
    ]
}

Affected versions

2.*

2.0.0

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

2.0.6

2.0.7

2.0.8

2.1.0

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.2.0

2.2.1

2.2.10

2.2.11

2.2.12

2.2.13

2.2.14

2.2.15

2.2.16

2.2.17

2.2.18

2.2.19

2.2.2

2.2.20

2.2.21

2.2.22

2.2.23

2.2.24

2.2.25

2.2.25-beta.1

2.2.3

2.2.4

2.2.5

2.2.6

2.2.7

2.2.8

2.2.9

2.3.0

2.3.0-alpha1

2.3.1

2.3.2

2.3.3

2.3.4

2.3.5

2.3.6

2.3.7

2.3.8

2.4.0

2.4.1

2.4.2

2.5.0

2.5.1

2.5.2

2.5.3

2.6.0

2.6.1

2.6.2

2.6.3

2.6.4

2.6.5

2.7.0

2.7.1

2.7.2

2.7.3

2.7.4

2.8.0

2.8.1

2.8.2

2.8.3

2.8.4

3.*

3.0.0

3.1.0

3.1.1

3.1.2

3.1.3

3.10.0

3.2.0

3.2.1

3.2.2

3.2.3

3.3.0

3.4.0

3.4.1

3.4.2

3.4.3

3.4.4

3.5.0

3.6.0

3.7.0

3.7.1

3.7.2

3.8.0

3.9.0

4.*

4.0.0

4.0.1

4.0.10

4.0.11

4.0.12

4.0.13

4.0.14

4.0.2

4.0.3

4.0.4

4.0.6

4.0.7

4.0.8

4.0.9

4.1.0

4.10.0

4.10.1

4.10.10

4.10.11

4.10.12

4.10.13

4.10.14

4.10.15

4.10.16

4.10.17

4.10.18

4.10.19

4.10.2

4.10.20

4.10.3

4.10.4

4.10.5

4.10.6

4.10.7

4.10.8

4.10.9

4.2.0

4.3.0

4.4.0

4.5.0

4.5.2

4.6.0

4.7.0

4.8.0

4.8.1

4.8.2

4.8.3

4.8.4

4.8.5

4.9.0

4.9.1

4.9.2

4.9.3

5.*

5.0.0

5.0.0-alpha.1

5.0.0-alpha.10

5.0.0-alpha.11

5.0.0-alpha.12

5.0.0-alpha.13

5.0.0-alpha.14

5.0.0-alpha.15

5.0.0-alpha.16

5.0.0-alpha.17

5.0.0-alpha.18

5.0.0-alpha.19

5.0.0-alpha.2

5.0.0-alpha.20

5.0.0-alpha.21

5.0.0-alpha.22

5.0.0-alpha.23

5.0.0-alpha.24

5.0.0-alpha.25

5.0.0-alpha.26

5.0.0-alpha.27

5.0.0-alpha.28

5.0.0-alpha.29

5.0.0-alpha.3

5.0.0-alpha.4

5.0.0-alpha.5

5.0.0-alpha.6

5.0.0-alpha.7

5.0.0-alpha.8

5.0.0-alpha.9

5.0.0-beta.1

5.0.0-beta.10

5.0.0-beta.2

5.0.0-beta.3

5.0.0-beta.4

5.0.0-beta.5

5.0.0-beta.6

5.0.0-beta.7

5.0.0-beta.8

5.0.0-beta.9

5.1.0

5.1.1

5.2.0

5.2.0-alpha.1

5.2.0-alpha.2

5.2.0-alpha.3

5.2.0-beta.1

5.2.0-beta.2

5.2.1

5.2.1-alpha.1

5.2.1-alpha.2

5.2.2

5.2.3

5.2.4

5.2.5

5.2.6

5.2.7

5.2.8

5.3.0

5.3.0-alpha.1

5.3.0-alpha.10

5.3.0-alpha.11

5.3.0-alpha.12

5.3.0-alpha.13

5.3.0-alpha.14

5.3.0-alpha.15

5.3.0-alpha.16

5.3.0-alpha.17

5.3.0-alpha.18

5.3.0-alpha.19

5.3.0-alpha.2

5.3.0-alpha.20

5.3.0-alpha.21

5.3.0-alpha.22

5.3.0-alpha.23

5.3.0-alpha.24

5.3.0-alpha.25

5.3.0-alpha.26

5.3.0-alpha.27

5.3.0-alpha.28

5.3.0-alpha.29

5.3.0-alpha.3

5.3.0-alpha.30

5.3.0-alpha.31

5.3.0-alpha.32

5.3.0-alpha.4

5.3.0-alpha.5

5.3.0-alpha.6

5.3.0-alpha.7

5.3.0-alpha.8

5.3.0-alpha.9

5.3.0-beta.1

5.3.1

5.3.2

5.3.3

5.4.0

5.4.0-alpha.1

5.4.0-beta.1

5.4.1

5.4.2

5.4.3

5.5.0

5.5.1

5.5.2

5.5.3

5.5.4

5.5.5

5.5.6

5.6.0

6.*

6.0.0

6.0.0-alpha.1

6.0.0-alpha.10

6.0.0-alpha.11

6.0.0-alpha.12

6.0.0-alpha.13

6.0.0-alpha.14

6.0.0-alpha.15

6.0.0-alpha.16

6.0.0-alpha.17

6.0.0-alpha.18

6.0.0-alpha.19

6.0.0-alpha.2

6.0.0-alpha.20

6.0.0-alpha.21

6.0.0-alpha.22

6.0.0-alpha.23

6.0.0-alpha.24

6.0.0-alpha.25

6.0.0-alpha.26

6.0.0-alpha.27

6.0.0-alpha.28

6.0.0-alpha.29

6.0.0-alpha.3

6.0.0-alpha.30

6.0.0-alpha.31

6.0.0-alpha.32

6.0.0-alpha.33

6.0.0-alpha.34

6.0.0-alpha.35

6.0.0-alpha.4

6.0.0-alpha.5

6.0.0-alpha.6

6.0.0-alpha.7

6.0.0-alpha.8

6.0.0-alpha.9

6.0.0-beta.1

6.1.0

6.1.0-alpha.1

6.1.0-alpha.10

6.1.0-alpha.11

6.1.0-alpha.12

6.1.0-alpha.13

6.1.0-alpha.14

6.1.0-alpha.15

6.1.0-alpha.16

6.1.0-alpha.17

6.1.0-alpha.18

6.1.0-alpha.19

6.1.0-alpha.2

6.1.0-alpha.20

6.1.0-alpha.3

6.1.0-alpha.4

6.1.0-alpha.5

6.1.0-alpha.6

6.1.0-alpha.7

6.1.0-alpha.8

6.1.0-alpha.9

6.1.0-beta.1

6.1.0-beta.2

6.2.0

6.2.1

6.2.2

6.3.0

6.3.0-alpha.1

6.3.0-alpha.2

6.3.0-alpha.3

6.3.0-alpha.4

6.3.0-alpha.5

6.3.0-alpha.6

6.3.0-alpha.7

6.3.0-alpha.8

6.3.0-alpha.9

6.3.0-beta.1

6.3.1

6.4.0

6.4.0-alpha.1

6.4.0-alpha.2

6.4.0-alpha.3

6.4.0-alpha.4

6.4.0-alpha.5

6.4.0-alpha.6

6.4.0-alpha.7

6.4.0-alpha.8

6.4.0-beta.1

6.5.0

6.5.0-alpha.1

6.5.0-alpha.2

6.5.0-beta.1

6.5.1

6.5.10

6.5.11

6.5.2

6.5.3

6.5.4

6.5.5

6.5.6

6.5.7

6.5.8

6.5.9

7.*

7.0.0

7.0.0-alpha.1

7.0.0-alpha.10

7.0.0-alpha.11

7.0.0-alpha.12

7.0.0-alpha.13

7.0.0-alpha.14

7.0.0-alpha.15

7.0.0-alpha.16

7.0.0-alpha.17

7.0.0-alpha.18

7.0.0-alpha.19

7.0.0-alpha.2

7.0.0-alpha.20

7.0.0-alpha.21

7.0.0-alpha.22

7.0.0-alpha.23

7.0.0-alpha.24

7.0.0-alpha.25

7.0.0-alpha.26

7.0.0-alpha.27

7.0.0-alpha.28

7.0.0-alpha.29

7.0.0-alpha.3

7.0.0-alpha.30

7.0.0-alpha.31

7.0.0-alpha.4

7.0.0-alpha.5

7.0.0-alpha.6

7.0.0-alpha.7

7.0.0-alpha.8

7.0.0-alpha.9

7.0.0-beta.1

7.1.0

7.1.0-alpha.1

7.1.0-alpha.10

7.1.0-alpha.11

7.1.0-alpha.12

7.1.0-alpha.13

7.1.0-alpha.14

7.1.0-alpha.15

7.1.0-alpha.16

7.1.0-alpha.2

7.1.0-alpha.3

7.1.0-alpha.4

7.1.0-alpha.5

7.1.0-alpha.6

7.1.0-alpha.7

7.1.0-alpha.8

7.1.0-alpha.9

7.1.0-beta.1

7.2.0

7.2.0-beta.1

7.3.0

7.3.0-alpha.1

7.3.0-alpha.2

7.3.0-alpha.3

7.3.0-alpha.4

7.3.0-alpha.5

7.3.0-alpha.6

7.3.0-alpha.7

7.3.0-alpha.8

7.3.0-alpha.9

7.3.0-beta.1

7.3.1-alpha.1

7.4.0

7.4.0-alpha.1

7.4.0-alpha.2

7.4.0-alpha.3

7.4.0-alpha.4

7.4.0-alpha.5

7.4.0-alpha.6

7.4.0-alpha.7

7.4.0-beta.1

7.5.0

7.5.1

7.5.2

7.5.3

7.5.4

8.*

8.0.0

8.0.0-alpha.1

8.0.0-alpha.10

8.0.0-alpha.11

8.0.0-alpha.12

8.0.0-alpha.13

8.0.0-alpha.14

8.0.0-alpha.15

8.0.0-alpha.2

8.0.0-alpha.3

8.0.0-alpha.4

8.0.0-alpha.5

8.0.0-alpha.6

8.0.0-alpha.7

8.0.0-alpha.8

8.0.0-alpha.9

8.0.1

8.0.1-alpha.1

8.0.1-alpha.2

8.0.2

8.0.2-alpha.1

8.1.0

8.1.0-alpha.1

8.1.0-alpha.2

8.1.0-alpha.3

8.1.0-alpha.4

8.1.1-alpha.1

8.2.0

8.2.0-alpha.1

8.2.1

8.2.1-alpha.1

8.2.1-alpha.2

8.2.2

8.2.2-alpha.1

8.2.3

8.2.3-alpha.1

8.2.4

8.2.4-alpha.1

8.2.5

8.2.5-alpha.1

8.3.0

8.3.0-alpha.1

8.3.0-alpha.10

8.3.0-alpha.11

8.3.0-alpha.12

8.3.0-alpha.13

8.3.0-alpha.14

8.3.0-alpha.2

8.3.0-alpha.3

8.3.0-alpha.4

8.3.0-alpha.5

8.3.0-alpha.6

8.3.0-alpha.7

8.3.0-alpha.8

8.3.0-alpha.9

8.3.1-alpha.1

8.4.0

8.4.0-alpha.1

8.4.0-alpha.2

8.5.0

8.5.0-alpha.1

8.5.0-alpha.10

8.5.0-alpha.11

8.5.0-alpha.12

8.5.0-alpha.13

8.5.0-alpha.14

8.5.0-alpha.15

8.5.0-alpha.16

8.5.0-alpha.17

8.5.0-alpha.18

8.5.0-alpha.2

8.5.0-alpha.3

8.5.0-alpha.4

8.5.0-alpha.5

8.5.0-alpha.6

8.5.0-alpha.7

8.5.0-alpha.8

8.5.0-alpha.9

8.6.0

8.6.0-alpha.1

8.6.0-alpha.2

8.6.1

8.6.10

8.6.11

8.6.12

8.6.13

8.6.14

8.6.15

8.6.16

8.6.17

8.6.18

8.6.19

8.6.2

8.6.20

8.6.21

8.6.22

8.6.23

8.6.24

8.6.25

8.6.26

8.6.27

8.6.28

8.6.29

8.6.3

8.6.30

8.6.31

8.6.32

8.6.33

8.6.34

8.6.35

8.6.36

8.6.37

8.6.38

8.6.39

8.6.4

8.6.40

8.6.41

8.6.42

8.6.43

8.6.44

8.6.45

8.6.46

8.6.47

8.6.48

8.6.49

8.6.5

8.6.50

8.6.51

8.6.52

8.6.53

8.6.54

8.6.55

8.6.56

8.6.57

8.6.58

8.6.59

8.6.6

8.6.60

8.6.61

8.6.62

8.6.63

8.6.64

8.6.65

8.6.66

8.6.7

8.6.8

8.6.9

9.*

9.0.0

9.0.0-alpha.1

9.0.0-alpha.10

9.0.0-alpha.11

9.0.0-alpha.2

9.0.0-alpha.3

9.0.0-alpha.4

9.0.0-alpha.5

9.0.0-alpha.6

9.0.0-alpha.7

9.0.0-alpha.8

9.0.0-alpha.9

9.1.0

9.1.0-alpha.1

9.1.0-alpha.2

9.1.0-alpha.3

9.1.0-alpha.4

9.1.1

9.1.1-alpha.1

9.2.0

9.2.0-alpha.1

9.2.0-alpha.2

9.2.0-alpha.3

9.2.0-alpha.4

9.2.0-alpha.5

9.2.1-alpha.1

9.2.1-alpha.2

9.3.0

9.3.0-alpha.1

9.3.0-alpha.2

9.3.0-alpha.3

9.3.0-alpha.4

9.3.0-alpha.5

9.3.0-alpha.6

9.3.0-alpha.7

9.3.0-alpha.8

9.3.0-alpha.9

9.3.1

9.3.1-alpha.1

9.3.1-alpha.2

9.3.1-alpha.3

9.3.1-alpha.4

9.4.0

9.4.0-alpha.1

9.4.0-alpha.2

9.4.1

9.4.1-alpha.1

9.4.1-alpha.2

9.4.1-alpha.3

9.5.0

9.5.0-alpha.1

9.5.0-alpha.10

9.5.0-alpha.11

9.5.0-alpha.12

9.5.0-alpha.13

9.5.0-alpha.14

9.5.0-alpha.2

9.5.0-alpha.3

9.5.0-alpha.4

9.5.0-alpha.5

9.5.0-alpha.6

9.5.0-alpha.7

9.5.0-alpha.8

9.5.0-alpha.9

9.5.1

9.5.1-alpha.1

9.5.1-alpha.2

9.5.2-alpha.1

9.5.2-alpha.10

9.5.2-alpha.11

9.5.2-alpha.12

9.5.2-alpha.13

9.5.2-alpha.14

9.5.2-alpha.2

9.5.2-alpha.3

9.5.2-alpha.4

9.5.2-alpha.5

9.5.2-alpha.6

9.5.2-alpha.7

9.5.2-alpha.8

9.5.2-alpha.9

9.6.0

9.6.0-alpha.1

9.6.0-alpha.10

9.6.0-alpha.11

9.6.0-alpha.12

9.6.0-alpha.13

9.6.0-alpha.14

9.6.0-alpha.15

9.6.0-alpha.16

9.6.0-alpha.17

9.6.0-alpha.18

9.6.0-alpha.19

9.6.0-alpha.2

9.6.0-alpha.20

9.6.0-alpha.21

9.6.0-alpha.22

9.6.0-alpha.23

9.6.0-alpha.24

9.6.0-alpha.25

9.6.0-alpha.26

9.6.0-alpha.27

9.6.0-alpha.28

9.6.0-alpha.29

9.6.0-alpha.3

9.6.0-alpha.30

9.6.0-alpha.31

9.6.0-alpha.32

9.6.0-alpha.33

9.6.0-alpha.34

9.6.0-alpha.35

9.6.0-alpha.36

9.6.0-alpha.37

9.6.0-alpha.38

9.6.0-alpha.39

9.6.0-alpha.4

9.6.0-alpha.40

9.6.0-alpha.41

9.6.0-alpha.42

9.6.0-alpha.43

9.6.0-alpha.44

9.6.0-alpha.45

9.6.0-alpha.46

9.6.0-alpha.47

9.6.0-alpha.48

9.6.0-alpha.49

9.6.0-alpha.5

9.6.0-alpha.50

9.6.0-alpha.51

9.6.0-alpha.52

9.6.0-alpha.53

9.6.0-alpha.54

9.6.0-alpha.55

9.6.0-alpha.56

9.6.0-alpha.6

9.6.0-alpha.7

9.6.0-alpha.8

9.6.0-alpha.9

9.6.1

9.6.1-alpha.1

9.7.0

9.7.0-alpha.1

9.7.0-alpha.10

9.7.0-alpha.11

9.7.0-alpha.12

9.7.0-alpha.13

9.7.0-alpha.14

9.7.0-alpha.15

9.7.0-alpha.16

9.7.0-alpha.17

9.7.0-alpha.18

9.7.0-alpha.2

9.7.0-alpha.3

9.7.0-alpha.4

9.7.0-alpha.5

9.7.0-alpha.6

9.7.0-alpha.7

9.7.0-alpha.8

9.7.0-alpha.9

9.7.1-alpha.1

9.7.1-alpha.2

9.7.1-alpha.3

9.7.1-alpha.4

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2026-34532.json"