Plataforma
nodejs
Componente
parse-server
Corrigido em
4.2.1
8.0.1
7.5.4
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no Parse Server, especificamente na funcionalidade de upload de arquivos ao utilizar o parâmetro uri para Parse.File. Essa falha permite a execução de URIs arbitrárias, resultando na falha do servidor ao receber a resposta. A vulnerabilidade afeta versões anteriores a 7.5.4 e foi publicada em 05 de novembro de 2025. A correção está disponível na versão 7.5.4.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante execute requisições para qualquer URI configurada no parâmetro uri durante o upload de arquivos. Isso pode levar ao acesso não autorizado a recursos internos, como serviços de nuvem, bancos de dados ou APIs, que normalmente não seriam acessíveis externamente. O impacto pode variar desde a coleta de informações sensíveis até a execução de ações em nome do servidor Parse, dependendo dos recursos acessíveis através da URI maliciosa. A falha do servidor ao receber a resposta impede o armazenamento do arquivo, mas a requisição ainda é executada, representando um risco significativo.
A vulnerabilidade foi divulgada em 05 de novembro de 2025. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS. A existência de um Proof of Concept (PoC) público não foi confirmada. É importante monitorar a situação e aplicar a correção o mais rápido possível.
Organizations using Parse Server for backend services, particularly those handling sensitive data or integrating with internal systems, are at risk. Deployments relying on file upload functionality and those with less stringent URI validation are especially vulnerable. Shared hosting environments using Parse Server may also be affected.
• nodejs / server: Monitor Parse Server logs for outbound requests to unexpected or unauthorized URIs. Use journalctl to filter for errors related to file uploads and URI processing.
journalctl -u parse-server --grep 'uri' --grep 'error'• generic web: Use curl or wget to check for exposed endpoints related to file uploads and observe the responses for signs of SSRF activity.
curl -v 'https://your-parse-server/files/upload?uri=http://internal-system/'disclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 7.5.4 do Parse Server, que inclui a correção. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir o acesso à rede do Parse Server a apenas os recursos necessários. Além disso, valide e sanitize rigorosamente todos os dados de entrada, especialmente o parâmetro uri, para evitar a injeção de URIs maliciosas. Monitore os logs do Parse Server em busca de requisições suspeitas para URIs externas.
Atualize o Parse Server para a versão 7.5.4 ou superior, ou para a versão 8.4.0-alpha.1 ou superior. Isso corrige a vulnerabilidade SSRF na funcionalidade de upload de arquivos. A atualização impede a execução de URIs arbitrárias durante o upload de arquivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-64430 é uma vulnerabilidade SSRF que permite a execução de URIs arbitrárias no Parse Server, afetando versões anteriores a 7.5.4, resultando na falha do servidor.
Se você estiver utilizando Parse Server em uma versão anterior a 7.5.4 e utiliza a funcionalidade de upload de arquivos, você está potencialmente afetado.
A correção é atualizar para a versão 7.5.4 do Parse Server. Se a atualização não for possível, implemente regras de firewall e valide os dados de entrada.
Não há confirmação de exploração ativa no momento, mas é importante aplicar a correção o mais rápido possível.
Consulte a documentação oficial do Parse Server e os canais de comunicação da comunidade para obter informações atualizadas sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.