Platform
nodejs
Component
parse-server
Opgelost in
4.2.1
8.0.1
7.5.4
Deze kwetsbaarheid betreft een Server-Side Request Forgery (SSRF) in de file upload functionaliteit van Parse Server. Een aanvaller kan een willekeurige URI uitvoeren door een Parse.File te uploaden met een kwaadaardige uri parameter. De kwetsbaarheid treedt op omdat Parse Server data van de opgegeven URI ophaalt, maar de reactie niet opslaat en crasht bij ontvangst. De feature werd geïmplementeerd in Parse Server 4.2.0, maar functioneerde nooit correct.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om willekeurige HTTP-verzoeken uit te voeren vanuit de context van de Parse Server. Dit kan leiden tot toegang tot interne resources die normaal gesproken niet toegankelijk zijn vanaf het internet, zoals interne API's, databases of andere systemen. De aanvaller kan gevoelige informatie stelen, configuratiebestanden ophalen of zelfs andere systemen binnen het netwerk compromitteren. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de aanvaller de server kan misbruiken om toegang te krijgen tot bronnen die anders verborgen zouden zijn. De crash van de server bij ontvangst van de reactie beperkt de directe impact, maar maakt het nog steeds mogelijk om interne services te scannen en te identificeren.
De kwetsbaarheid is publiekelijk bekend sinds 5 november 2025. Er is momenteel geen informatie over actieve exploitatiecampagnes. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Organizations using Parse Server for backend services, particularly those handling sensitive data or integrating with internal systems, are at risk. Deployments relying on file upload functionality and those with less stringent URI validation are especially vulnerable. Shared hosting environments using Parse Server may also be affected.
• nodejs / server: Monitor Parse Server logs for outbound requests to unexpected or unauthorized URIs. Use journalctl to filter for errors related to file uploads and URI processing.
journalctl -u parse-server --grep 'uri' --grep 'error'• generic web: Use curl or wget to check for exposed endpoints related to file uploads and observe the responses for signs of SSRF activity.
curl -v 'https://your-parse-server/files/upload?uri=http://internal-system/'disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Parse Server naar versie 7.5.4 of hoger, waarin de kwetsbaarheid is verholpen. Als een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die kwaadaardige URI's blokkeert. Controleer de configuratie van Parse Server om te verzekeren dat de file upload functionaliteit niet onnodig wordt blootgesteld aan het internet. Overweeg het implementeren van restricties op de URI's die kunnen worden opgegeven tijdens het uploaden van bestanden. Na de upgrade, verifieer de fix door een testbestand te uploaden met een bekende kwaadaardige URI en controleer of de upload mislukt en de server niet crasht.
Werk Parse Server bij naar versie 7.5.4 of hoger, of naar versie 8.4.0-alpha.1 of hoger. Dit corrigeert de SSRF kwetsbaarheid in de functionaliteit voor het uploaden van bestanden. De update voorkomt de uitvoering van willekeurige URIs tijdens het uploaden van bestanden.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64430 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de file upload functionaliteit van Parse Server, waardoor een aanvaller willekeurige URI's kan uitvoeren.
U bent getroffen als u een versie van Parse Server gebruikt die eerder dan 7.5.4 is.
Upgrade Parse Server naar versie 7.5.4 of hoger. Als dit niet mogelijk is, implementeer dan een WAF om kwaadaardige URI's te blokkeren.
Er is momenteel geen informatie over actieve exploitatiecampagnes.
Raadpleeg de Parse Server documentatie en release notes voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.