Plateforme
nodejs
Composant
parse-server
Corrigé dans
4.2.1
8.0.1
7.5.4
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans Parse Server, affectant la fonctionnalité de téléchargement de fichiers. Cette faille permet à un attaquant d'exécuter des requêtes arbitraires via le paramètre uri lors du téléchargement d'un Parse.File. Bien que l'intention était d'implémenter cette fonctionnalité dans Parse Server 4.2.0, elle se traduit par un crash du serveur lors de la réception de la réponse.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de forcer le serveur Parse à effectuer des requêtes vers des URI arbitraires. Cela peut conduire à la divulgation d'informations sensibles accessibles depuis le serveur, telles que des métadonnées sur des services internes ou des données stockées sur des systèmes accessibles via le réseau interne. Bien que le serveur se crashe lors de la réception de la réponse, l'attaquant peut toujours utiliser cette faille pour sonner des requêtes à des ressources internes et externes. Cette vulnérabilité présente un risque de compromission de la confidentialité et de l'intégrité des données.
Cette vulnérabilité a été rendue publique le 5 novembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une configuration spécifique de Parse Server et de la complexité de l'exploitation. Il n'a pas été ajouté au catalogue KEV de CISA.
Organizations using Parse Server for backend services, particularly those handling sensitive data or integrating with internal systems, are at risk. Deployments relying on file upload functionality and those with less stringent URI validation are especially vulnerable. Shared hosting environments using Parse Server may also be affected.
• nodejs / server: Monitor Parse Server logs for outbound requests to unexpected or unauthorized URIs. Use journalctl to filter for errors related to file uploads and URI processing.
journalctl -u parse-server --grep 'uri' --grep 'error'• generic web: Use curl or wget to check for exposed endpoints related to file uploads and observe the responses for signs of SSRF activity.
curl -v 'https://your-parse-server/files/upload?uri=http://internal-system/'disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Parse Server vers la version 7.5.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de désactiver temporairement la fonctionnalité de téléchargement de fichiers ou de mettre en place des contrôles stricts sur les URI autorisées. L'utilisation d'un pare-feu d'application web (WAF) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que la fonctionnalité de téléchargement de fichiers fonctionne correctement et ne provoque plus de crash du serveur.
Mettez à jour Parse Server à la version 7.5.4 ou supérieure, ou à la version 8.4.0-alpha.1 ou supérieure. Cela corrige la vulnérabilité SSRF dans la fonctionnalité de téléchargement de fichiers. La mise à jour empêche l'exécution d'URIs arbitraires lors du téléchargement de fichiers.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64430 décrit une vulnérabilité Server-Side Request Forgery (SSRF) dans Parse Server, permettant à un attaquant d'exécuter des requêtes arbitraires via le téléchargement de fichiers.
Oui, si vous utilisez une version de Parse Server antérieure à 7.5.4, vous êtes potentiellement affecté par cette vulnérabilité.
La solution est de mettre à jour Parse Server vers la version 7.5.4 ou supérieure. En attendant, désactivez la fonctionnalité de téléchargement de fichiers ou mettez en place des contrôles stricts sur les URI.
À ce jour, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais la probabilité d'exploitation est considérée comme moyenne.
Consultez la documentation officielle de Parse Server pour les mises à jour de sécurité et les correctifs : [https://parse.com/docs](https://parse.com/docs)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.