Platform
nodejs
Component
parse-server
Opgelost in
8.6.3
9.0.1
8.6.3
9.1.1-alpha.1
CVE-2025-68150 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in Parse Server. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te verkrijgen door middel van een aangepaste API-URL in de Instagram authenticatie adapter. De kwetsbaarheid treft versies van Parse Server vóór 9.1.1-alpha.1. Een patch is beschikbaar en wordt aanbevolen.
Deze SSRF-kwetsbaarheid in Parse Server maakt het mogelijk voor een aanvaller om verzoeken te maken vanuit de server naar willekeurige interne of externe bronnen, alsof ze afkomstig zijn van de Parse Server zelf. In de context van de Instagram authenticatie adapter kan dit misbruikt worden om toegang te krijgen tot interne diensten die normaal gesproken niet toegankelijk zijn vanaf het internet. Een succesvolle exploitatie kan leiden tot authenticatie bypass, waarbij een aanvaller zich voordoet als een legitieme gebruiker en toegang krijgt tot gevoelige gegevens of functionaliteit. De impact is verhoogd doordat de kwetsbaarheid direct gerelateerd is aan authenticatie, wat de potentiële schade aanzienlijk vergroot.
Op dit moment zijn er geen openbare exploitatie details of actieve campagnes bekend. De kwetsbaarheid is openbaar gemaakt op 2025-12-16. Er zijn geen bekende Proof-of-Concept exploits publiekelijk beschikbaar. De ernst van de kwetsbaarheid is hoog, wat een potentiële motivatie kan zijn voor verdere exploitatie.
Organizations utilizing Parse Server for backend services, particularly those integrating with Instagram authentication, are at risk. This includes applications relying on custom API URLs for authentication and those running older, unpatched versions of Parse Server.
• nodejs / server:
grep -r 'authData.apiURL' /opt/parse-server/app/lib/instagram.js• generic web:
curl -I https://your-parse-server/instagram/auth | grep apiURLdisclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-68150 is het upgraden van Parse Server naar versie 9.1.1-alpha.1 of hoger, waar de kwetsbaarheid is verholpen door de Instagram Graph API URL te hardcoden en client-verstrekte apiURL waarden te negeren. Indien een upgrade momenteel niet mogelijk is, is er geen directe workaround beschikbaar. Het is cruciaal om de Parse Server applicatie te isoleren en de toegang tot de Instagram authenticatie adapter te beperken totdat de upgrade kan worden uitgevoerd. Monitor de applicatie logs op verdachte verzoeken die afkomstig zijn van de Instagram authenticatie adapter.
Werk Parse Server bij naar versie 8.6.2 of hoger. Als u versie 9.x gebruikt, werk dan bij naar versie 9.1.1-alpha.1 of hoger. Dit corrigeert de SSRF kwetsbaarheid door de Instagram API URL hard te coderen en te voorkomen dat clients een aangepaste URL specificeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68150 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in Parse Server, waardoor een aanvaller ongeautoriseerde toegang kan verkrijgen via een aangepaste API-URL.
Ja, als u Parse Server gebruikt en niet bent geüpgraded naar versie 9.1.1-alpha.1 of hoger, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade Parse Server naar versie 9.1.1-alpha.1 of hoger. Indien een upgrade niet mogelijk is, is er geen directe workaround beschikbaar.
Op dit moment zijn er geen openbare exploitatie details of actieve campagnes bekend, maar de hoge ernst vereist aandacht.
Raadpleeg de Parse Server documentatie en release notes voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.