Plateforme
nodejs
Composant
parse-server
Corrigé dans
8.6.3
9.0.1
8.6.3
9.1.1-alpha.1
La vulnérabilité CVE-2025-68150 affecte Parse Server, une solution open-source pour héberger des backends d'applications mobiles. Cette faille de type SSRF (Server-Side Request Forgery) permet à un attaquant de manipuler les requêtes effectuées par le serveur, potentiellement contournant l'authentification et accédant à des données sensibles. Les versions de Parse Server concernées sont celles antérieures à la version 9.1.1-alpha.1. Une correction a été déployée et il est recommandé d'effectuer la mise à jour.
L'impact principal de cette vulnérabilité réside dans la possibilité de contourner l'authentification lors de l'utilisation de l'adaptateur d'authentification Instagram. L'attaquant peut spécifier une URL d'API personnalisée via le paramètre apiURL, ce qui lui permet d'envoyer des requêtes à des serveurs malveillants. Si ces serveurs renvoient des réponses frauduleuses, Parse Server pourrait valider des utilisateurs non autorisés, leur accordant un accès non justifié. Cette vulnérabilité pourrait également être exploitée pour accéder à des informations internes en effectuant des requêtes vers des ressources internes non accessibles publiquement. Le risque est accru si Parse Server est utilisé pour gérer des données sensibles ou des informations d'identification.
La vulnérabilité CVE-2025-68150 a été publiée le 16 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'est connu. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature de la vulnérabilité SSRF et de la complexité potentielle de son exploitation. Il est conseillé de surveiller les sources d'information sur les vulnérabilités pour détecter d'éventuelles mises à jour.
Organizations utilizing Parse Server for backend services, particularly those integrating with Instagram authentication, are at risk. This includes applications relying on custom API URLs for authentication and those running older, unpatched versions of Parse Server.
• nodejs / server:
grep -r 'authData.apiURL' /opt/parse-server/app/lib/instagram.js• generic web:
curl -I https://your-parse-server/instagram/auth | grep apiURLdisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
CISA SSVC
La correction officielle consiste à mettre à jour Parse Server vers la version 9.1.1-alpha.1 ou supérieure, qui corrige la vulnérabilité en codant en dur l'URL de l'API Instagram Graph (https://graph.instagram.com) et en ignorant les valeurs apiURL fournies par le client. En attendant la mise à jour, il n'existe pas de contournement direct. Il est fortement recommandé de limiter l'accès au serveur Parse Server et de surveiller les journaux d'accès pour détecter des requêtes suspectes. Une analyse des journaux peut révéler des tentatives d'exploitation de la vulnérabilité. Après la mise à jour, vérifiez le bon fonctionnement de l'authentification Instagram en effectuant des tests de connexion.
Mettez à jour Parse Server à la version 8.6.2 ou supérieure. Si vous utilisez une version 9.x, mettez à jour vers la version 9.1.1-alpha.1 ou supérieure. Cela corrige la vulnérabilité SSRF en codant en dur l'URL de l'API Instagram et en empêchant les clients de spécifier une URL personnalisée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68150 est une vulnérabilité SSRF dans Parse Server qui permet de contourner l'authentification Instagram en manipulant les requêtes du serveur.
Vous êtes affecté si vous utilisez une version de Parse Server antérieure à 9.1.1-alpha.1 et que vous utilisez l'adaptateur d'authentification Instagram.
Mettez à jour Parse Server vers la version 9.1.1-alpha.1 ou supérieure. La correction code en dur l'URL de l'API Instagram.
À ce jour, il n'y a aucune indication d'une exploitation active de CVE-2025-68150.
Consultez le site web de Parse Server ou leurs canaux de communication officiels pour obtenir des informations sur cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.