Plateforme
nodejs
Composant
node.js
Corrigé dans
8.6.1
8.5.1
La vulnérabilité CVE-2025-67727 affecte Parse Server, une plateforme backend open source basée sur Node.js. Elle permet à un workflow GitHub Actions de contourner les contrôles d'accès et d'obtenir des privilèges élevés, compromettant potentiellement des secrets et permettant l'exécution de code arbitraire. Les versions concernées sont celles antérieures à 8.6.0-alpha.2. Une correction a été déployée dans la version 8.6.0-alpha.2.
Cette vulnérabilité présente un risque d'exécution de code à distance (RCE) significatif. Un attaquant peut exploiter cette faille en manipulant un workflow GitHub Actions pour accéder à des secrets sensibles stockés dans le dépôt Parse Server, tels que des clés API, des mots de passe ou des jetons d'authentification. Ces secrets peuvent ensuite être utilisés pour compromettre d'autres systèmes ou services connectés à Parse Server. De plus, l'attaquant pourrait injecter du code malveillant dans le workflow, qui serait exécuté avec des privilèges élevés, permettant ainsi un contrôle total sur l'environnement Parse Server. Le risque est amplifié si le dépôt est public ou si des forks sont utilisés, car le code malveillant pourrait se propager à d'autres utilisateurs.
Cette vulnérabilité a été rendue publique le 12 décembre 2025. Bien qu'aucune exploitation active n'ait été confirmée à ce jour, la gravité élevée de la vulnérabilité et la facilité potentielle d'exploitation en font une cible attrayante pour les attaquants. La vulnérabilité est présente dans les dépôts publics et les forks de Parse Server, ce qui augmente la surface d'attaque. Il n'y a pas d'indication qu'elle ait été ajoutée au KEV à ce jour.
Organizations utilizing Parse Server for their backend infrastructure and relying on GitHub Actions for CI/CD are at significant risk. This includes startups, enterprises, and open-source projects that have deployed Parse Server and enabled GitHub Actions for automated builds and deployments. Legacy configurations and repositories with permissive GitHub Actions permissions are particularly vulnerable.
• github / workflows: Examine GitHub Actions workflows for unusual permission configurations or suspicious code execution.
# Example: Check for workflows with elevated permissions
permissions:
contents: read # Restrict to read-only access where possible
actions: read• github / repository: Monitor repository activity for unexpected changes or code modifications, especially within CI/CD related directories. • generic web: Review GitHub Actions logs for any unauthorized access attempts or suspicious activity. • linux / server: Examine system logs for any unusual processes or network connections originating from the CI/CD environment.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Parse Server vers la version 8.6.0-alpha.2 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter les privilèges accordés aux workflows GitHub Actions en restreignant l'accès aux secrets et en désactivant les fonctionnalités potentiellement dangereuses. Il est également recommandé de surveiller attentivement les workflows GitHub Actions pour détecter toute activité suspecte. Vérifiez les logs de GitHub Actions pour détecter des exécutions inattendues ou des tentatives d'accès à des secrets non autorisés. Après la mise à jour, vérifiez la configuration des workflows GitHub Actions pour vous assurer qu'ils respectent le principe du moindre privilège.
Mettez à jour Parse Server à la version 8.6.0-alpha.2 ou supérieure. Cela corrige la vulnérabilité d'exécution remota de code (RCE) causée par la gestion inadéquate des privilèges dans le workflow GitHub CI. La mise à jour atténue le risque d'accès non autorisé aux secrets GitHub et aux permissions d'écriture.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-67727 is a critical vulnerability in Parse Server versions up to 8.5.0 that allows unauthorized access to GitHub secrets via a flawed CI workflow, potentially leading to remote code execution.
If you are using Parse Server version 8.5.0 or earlier and have enabled GitHub Actions for your CI/CD pipeline, you are likely affected by this vulnerability.
Upgrade Parse Server to version 8.6.0-alpha.2 or later to remediate the vulnerability. Consider disabling affected CI/CD workflows as a temporary workaround.
While no public exploits have been reported, the vulnerability's critical severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official Parse Server security advisory for detailed information and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx) - Replace with actual advisory URL.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.