प्लेटफ़ॉर्म
nodejs
घटक
node.js
में ठीक किया गया
8.6.1
8.5.1
Parse Server एक ओपन-सोर्स बैकएंड है जिसे Node.js चलाने वाले किसी भी इंफ्रास्ट्रक्चर पर तैनात किया जा सकता है। CVE-2025-67727 एक गंभीर भेद्यता है जो Parse Server के संस्करण 8.5.0 से पहले मौजूद है। इस भेद्यता के कारण, GitHub CI वर्कफ़्लो को ऐसे तरीके से ट्रिगर किया जाता है जो इसे उच्च विशेषाधिकार प्रदान करता है, जिससे GitHub सीक्रेट तक पहुंच और लेखन अनुमतियाँ मिलती हैं। संस्करण 8.6.0-alpha.2 में इस समस्या को ठीक किया गया है।
यह भेद्यता हमलावर को GitHub सीक्रेट तक पहुंचने और Parse Server रिपॉजिटरी में बदलाव करने की अनुमति देती है। इसका मतलब है कि हमलावर कोड को इंजेक्ट कर सकता है, डेटा को चुरा सकता है, या सिस्टम को पूरी तरह से नियंत्रित कर सकता है। विशेष रूप से, GitHub Actions वर्कफ़्लो के माध्यम से कोड को शामिल करने की क्षमता, हमलावरों को दुर्भावनापूर्ण कोड को इंजेक्ट करने और इसे स्वचालित रूप से तैनात करने की अनुमति देती है। यह भेद्यता रिपॉजिटरी के CI/CD इंफ्रास्ट्रक्चर को प्रभावित करती है, जिसमें GitHub Actions सक्षम सार्वजनिक GitHub फ़ॉर्क भी शामिल हैं। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकता है और सिस्टम को नुकसान पहुंचा सकता है।
यह भेद्यता सार्वजनिक रूप से 2025-12-12 को घोषित की गई थी। GitHub Actions वर्कफ़्लो के माध्यम से कोड को शामिल करने की क्षमता के कारण, इस भेद्यता का शोषण किया जाना संभव है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट अभी तक उपलब्ध नहीं हैं, लेकिन इस भेद्यता का सक्रिय रूप से शोषण किया जा सकता है। CISA KEV सूची में इस भेद्यता को जोड़ा गया है, जो इसके उच्च जोखिम को दर्शाता है।
Organizations utilizing Parse Server for their backend infrastructure and relying on GitHub Actions for CI/CD are at significant risk. This includes startups, enterprises, and open-source projects that have deployed Parse Server and enabled GitHub Actions for automated builds and deployments. Legacy configurations and repositories with permissive GitHub Actions permissions are particularly vulnerable.
• github / workflows: Examine GitHub Actions workflows for unusual permission configurations or suspicious code execution.
# Example: Check for workflows with elevated permissions
permissions:
contents: read # Restrict to read-only access where possible
actions: read• github / repository: Monitor repository activity for unexpected changes or code modifications, especially within CI/CD related directories. • generic web: Review GitHub Actions logs for any unauthorized access attempts or suspicious activity. • linux / server: Examine system logs for any unusual processes or network connections originating from the CI/CD environment.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Parse Server को संस्करण 8.6.0-alpha.2 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना संभव नहीं है, तो GitHub Actions वर्कफ़्लो में सीक्रेट्स के उपयोग को सीमित करने पर विचार करें। वर्कफ़्लो में कोड को शामिल करने से बचें, और केवल विश्वसनीय स्रोतों से कोड का उपयोग करें। GitHub सीक्रेट्स को सुरक्षित रूप से प्रबंधित करने के लिए एन्क्रिप्शन और एक्सेस नियंत्रण का उपयोग करें। GitHub Actions वर्कफ़्लो की नियमित रूप से निगरानी करें ताकि किसी भी असामान्य गतिविधि का पता लगाया जा सके।
Parse Server को संस्करण 8.6.0-alpha.2 या उच्चतर में अपडेट करें। यह GitHub CI वर्कफ़्लो में अनुचित विशेषाधिकार प्रबंधन के कारण होने वाले रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता को ठीक करता है। अपडेट GitHub सीक्रेट और लेखन अनुमतियों तक अनधिकृत पहुंच के जोखिम को कम करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-67727 Parse Server के संस्करण 8.5.0 से पहले एक गंभीर भेद्यता है जो GitHub CI वर्कफ़्लो को उच्च विशेषाधिकार प्रदान करती है, जिससे GitHub सीक्रेट तक पहुंच मिलती है।
यदि आप Parse Server के संस्करण 8.5.0 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
Parse Server को संस्करण 8.6.0-alpha.2 या बाद के संस्करण में अपग्रेड करें।
इस भेद्यता का सक्रिय रूप से शोषण किया जा सकता है, इसलिए तुरंत कार्रवाई करना महत्वपूर्ण है।
Parse Server की आधिकारिक सलाह GitHub रिपॉजिटरी में उपलब्ध है: [https://github.com/ParsePlatform/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/ParsePlatform/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।