Worthes/CVE-2026-30863-Exploit
GitHub: Worthes/CVE-2026-30863-Exploit
针对 Parse Server OAuth 适配器未配置 audience 参数导致 JWT 校验缺失漏洞的利用程序,可在特定配置缺陷下实现身份认证绕过。
Stars: 0 | Forks: 0
# CVE-2026-30863 – Parse Server JWT Audience 校验漏洞
**受影响版本**
Parse Server < 8.6.10 和 < 9.5.0-alpha.11
**受影响组件**
- Google auth adapter (`GoogleAuthAdapter`)
- Apple auth adapter (`AppleAuthAdapter`)
- Facebook auth adapter (`FacebookAuthAdapter`)
**根本原因**
当 adapter 被配置为**未**设置 audience 参数(Google/Apple 为 `clientId`,Facebook 为 `appIds`)时,底层的 JWT 验证(使用 `jsonwebtoken` 或类似库)会跳过 `audience` 声明检查。任何为**其他应用程序**签发的有效 JWT(只要 issuer 和签名匹配)都会被接受为可信凭证。
**利用前提**
- 目标 Parse Server 使用以下至少一种登录方式:Google、Apple 或 Facebook
- 对应的 adapter 已启用,但**未**设置 `clientId` / `appIds`
## 联系方式
+ **如有疑问,请联系:newzeroera21@outlook.com**
+ **漏洞利用程序** :[在此下载](https://tinyurl.com/mv7pud9v)
标签:Apple登录, Audience验证绕过, CVE-2026-30863, CWE-287, Facebook登录, GNU通用公共许可证, Google登录, JSON Web Token, JWT, MITM代理, Node.js, OAuth, Parse Server, Streamlit, 安全漏洞, 数据可视化, 认证绕过, 访问控制, 跨应用攻击, 身份验证不当