Parse Server Instagram OAuth Adapter के माध्यम से सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) के प्रति संवेदनशील है

यह SSRF भेद्यता Instagram प्रमाणीकरण एडेप्टर में apiURL पैरामीटर के माध्यम से उत्पन्न होती है। हमलावर इस पैरामीटर का उपयोग करके Parse Server को दुर्भावनापूर्ण endpoints पर अनुरोध करने के लिए मजबूर कर सकते हैं। यदि ये endpoints नकली प्रतिक्रियाएँ लौटाते हैं जो Parse Server द्वारा मान्य होती हैं, तो हमलावर अनधिकृत उपयोगकर्ताओं के रूप में प्रमाणित हो सकते हैं और संवेदनशील डेटा तक पहुँच प्राप्त कर सकते हैं। इसके अतिरिक्त, हमलावर आंतरिक संसाधनों तक पहुँचने या अन्य सिस्टम के साथ हस्तक्षेप करने के लिए Parse Server का उपयोग कर सकते हैं। इस भेद्यता का उपयोग आंतरिक सेवाओं को उजागर करने या Parse Server के माध्यम से अन्य सिस्टम पर हमला करने के लिए किया जा सकता है।

Organizations utilizing Parse Server for backend services, particularly those integrating with Instagram authentication, are at risk. This includes applications relying on custom API URLs for authentication and those running older, unpatched versions of Parse Server.

• nodejs / server:

grep -r 'authData.apiURL' /opt/parse-server/app/lib/instagram.js

• generic web:

curl -I https://your-parse-server/instagram/auth | grep apiURL

1. 2025-12-16Disclosure

   disclosure

1. आरक्षित2025-12-15
2. प्रकाशित2025-12-16
3. संशोधित2026-02-03
4. EPSS अद्यतन2026-03-23

CVE-2025-68150 को कम करने के लिए, Parse Server को संस्करण 9.1.1-alpha.1 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप Parse Server के सामने एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात कर सकते हैं जो SSRF हमलों को ब्लॉक करता है। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो बाहरी endpoints पर अनुरोध करते हैं। इसके अतिरिक्त, आप Parse Server के कॉन्फ़िगरेशन को संशोधित कर सकते हैं ताकि क्लाइंट-प्रदानित apiURL मानों को अनदेखा किया जा सके और Instagram Graph API URL को हार्डकोड किया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता का समाधान हो गया है, Parse Server को फिर से कॉन्फ़िगर करें और परीक्षण करें।