HIGHCVE-2025-64430CVSS 7.5

Parse Server は URI 形式のファイルアップロードにおいて、サーバーサイドリクエストフォージェリ (SSRF) に脆弱です

Q: CVE-2025-64430 — SSRF in Parse Serverとは何ですか？

CVE-2025-64430は、Parse Serverのファイルアップロード機能におけるServer-Side Request Forgery (SSRF) 脆弱性です。攻撃者は任意のURIを実行し、サーバークラッシュを引き起こす可能性があります。

Q: CVE-2025-64430 in Parse Serverの影響はありますか？

Parse Serverのバージョンが7.5.4以前の場合は影響を受けます。ファイルアップロード機能の利用に注意し、バージョンアップグレードを検討してください。

Q: CVE-2025-64430 in Parse Serverを修正するにはどうすればよいですか？

Parse Serverをバージョン7.5.4以降にアップグレードしてください。アップグレードが難しい場合は、ファイルアップロード機能の使用を一時停止するか、URIの検証を厳格化してください。

Q: CVE-2025-64430は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後の攻撃の可能性は否定できません。

Q: CVE-2025-64430に関するParse Serverの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、Parse Serverのリリースノートまたはセキュリティアナウンスメントで確認できます。

プラットフォーム

nodejs

コンポーネント

parse-server

修正版

4.2.1

8.0.1

7.5.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Parse Serverのファイルアップロード機能に、Server-Side Request Forgery (SSRF) 脆弱性が存在します。この脆弱性は、uriパラメータを持つParse.Fileをアップロードする際に、攻撃者が任意のURIを実行できることを意味します。Parse Server 7.5.4以前のバージョンが影響を受け、バージョン7.5.4以降に修正されました。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はParse Serverがアクセスできる任意のURIに対してリクエストを送信できます。これにより、内部ネットワークリソースへの不正アクセス、機密情報の窃取、さらにはサーバーのクラッシュを引き起こす可能性があります。攻撃者は、Parse Serverがアクセスできる内部サービスやAPIを特定し、それらを悪用してシステムへの侵入を試みる可能性があります。この脆弱性は、Parse Serverが外部からのリクエストを処理する際に、信頼できないURIからのデータを取得する際に発生します。

悪用の状況

この脆弱性は2025年11月5日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後の攻撃の可能性は否定できません。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Organizations using Parse Server for backend services, particularly those handling sensitive data or integrating with internal systems, are at risk. Deployments relying on file upload functionality and those with less stringent URI validation are especially vulnerable. Shared hosting environments using Parse Server may also be affected.

検出手順翻訳中…

• nodejs / server: Monitor Parse Server logs for outbound requests to unexpected or unauthorized URIs. Use journalctl to filter for errors related to file uploads and URI processing.

journalctl -u parse-server --grep 'uri' --grep 'error'

• generic web: Use curl or wget to check for exposed endpoints related to file uploads and observe the responses for signs of SSRF activity.

curl -v 'https://your-parse-server/files/upload?uri=http://internal-system/'

攻撃タイムライン

2025-11-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (11% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントparse-server

ベンダーosv

影響範囲修正版

>= 4.2.0, < 7.5.4 – >= 4.2.0, < 7.5.44.2.1

>= 8.0.0, <= 8.4.0-alpha.1 – >= 8.0.0, <= 8.4.0-alpha.18.0.1

4.2.07.5.4

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-11-03
公開日2025-11-05
更新日2025-11-12
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、Parse Serverをバージョン7.5.4以降にアップグレードすることを推奨します。アップグレードが困難な場合は、ファイルアップロード機能の使用を一時的に停止するか、URIの検証を厳格化するなどの回避策を検討してください。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、Parse Serverのログを監視し、異常なURIへのアクセスがないか確認することも重要です。

修正方法

Parse Server をバージョン 7.5.4 以降、またはバージョン 8.4.0-alpha.1 以降にアップデートしてください。これにより、ファイルアップロード機能における SSRF の脆弱性が修正されます。アップデートにより、ファイルアップロード中に任意の URI が実行されるのを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-64430 — SSRF in Parse Serverとは何ですか？