プラットフォーム
nodejs
コンポーネント
node.js
修正版
8.6.1
8.5.1
CVE-2025-67727は、Node.jsベースのオープンソースバックエンドであるParse Serverに存在するリモートコード実行(RCE)の脆弱性です。この脆弱性は、GitHub ActionsワークフローがParse Serverリポジトリ内で権限昇格された状態になり、GitHub Secretsへのアクセスや書き込みを可能にするものです。影響を受けるバージョンは8.5.0以前であり、バージョン8.6.0-alpha.2へのアップグレードでこの問題は修正されています。
この脆弱性を悪用されると、攻撃者はParse ServerリポジトリのGitHub Actionsワークフローを制御し、機密情報(GitHub Secrets)を盗み出すことが可能になります。さらに、ワークフローに悪意のあるコードを挿入し、サーバー上で任意のコードを実行できる可能性があります。これにより、データ漏洩、システム改ざん、さらにはParse Serverインフラ全体へのアクセス権取得といった深刻な被害が発生する可能性があります。特に、CI/CDパイプラインを介してコードが自動的にデプロイされる環境では、攻撃の影響が広範囲に及ぶ可能性があります。この脆弱性は、GitHub Actionsを有効にしているリポジトリのCI/CDインフラストラクチャ全体に影響を及ぼし、フォークされたリポジトリにも影響する可能性があります。
この脆弱性は、2025年12月12日に公開されました。現時点では、公開されているPoCは確認されていませんが、GitHub Actionsの権限昇格という特性から、悪用される可能性は高いと考えられます。CISA KEVリストへの登録状況は不明ですが、CVSSスコアがCRITICALであることから、攻撃者による悪用が懸念されます。GitHub Actionsのセキュリティ設定の不備は、他のプロジェクトでも発生する可能性があるため、注意が必要です。
Organizations utilizing Parse Server for their backend infrastructure and relying on GitHub Actions for CI/CD are at significant risk. This includes startups, enterprises, and open-source projects that have deployed Parse Server and enabled GitHub Actions for automated builds and deployments. Legacy configurations and repositories with permissive GitHub Actions permissions are particularly vulnerable.
• github / workflows: Examine GitHub Actions workflows for unusual permission configurations or suspicious code execution.
# Example: Check for workflows with elevated permissions
permissions:
contents: read # Restrict to read-only access where possible
actions: read• github / repository: Monitor repository activity for unexpected changes or code modifications, especially within CI/CD related directories. • generic web: Review GitHub Actions logs for any unauthorized access attempts or suspicious activity. • linux / server: Examine system logs for any unusual processes or network connections originating from the CI/CD environment.
disclosure
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Parse Serverをバージョン8.6.0-alpha.2以降にアップグレードすることを強く推奨します。アップグレードが困難な場合は、GitHub Actionsワークフローの権限設定を見直し、不要な権限を削除することでリスクを軽減できます。また、ワークフローの実行ログを監視し、不審なアクティビティがないか確認することも重要です。WAFやプロキシサーバーを導入し、悪意のあるリクエストをブロックすることも有効な対策となります。GitHub Actionsのセキュリティ設定を強化し、リポジトリのアクセス制御を適切に設定することで、攻撃のリスクを低減できます。
Parse Server をバージョン 8.6.0-alpha.2 以降にアップデートしてください。これにより、GitHub CI ワークフローにおける不適切な権限管理によって引き起こされるリモートコード実行 (RCE) の脆弱性が修正されます。アップデートにより、GitHub secrets と書き込み権限への不正アクセスリスクが軽減されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-67727は、Parse ServerのGitHub Actionsワークフローにおける権限昇格により、リモートコード実行を可能にする脆弱性です。攻撃者は機密情報にアクセスし、サーバー上で任意のコードを実行できる可能性があります。
Parse Serverのバージョンが8.5.0以前の場合、影響を受けます。特に、GitHub ActionsをCI/CDパイプラインに組み込んでいる場合は注意が必要です。
Parse Serverをバージョン8.6.0-alpha.2以降にアップグレードしてください。アップグレードが困難な場合は、GitHub Actionsワークフローの権限設定を見直してください。
現時点では公開PoCは確認されていませんが、CVSSスコアがCRITICALであることから、悪用される可能性は高いと考えられます。
Parse Serverの公式アドバイザリは、GitHubリポジトリのリリースノートで確認できます。https://github.com/parse-community/parse-server/releases