Plataforma
nodejs
Componente
node.js
Corrigido em
8.6.1
8.5.1
Uma vulnerabilidade de execução remota de código (RCE) foi descoberta no Parse Server, uma plataforma de backend de código aberto. Essa falha permite que workflows do GitHub Actions, em versões anteriores a 8.6.0-alpha.2, obtenham privilégios elevados, concedendo-lhes acesso a segredos do GitHub e permissões de escrita. O impacto é significativo, pois pode comprometer a segurança de repositórios que utilizam GitHub Actions, especialmente aqueles com forks públicos.
A vulnerabilidade reside na forma como os workflows do GitHub CI são acionados no Parse Server. Um atacante pode explorar essa falha para injetar código malicioso em um workflow, que então será executado com permissões elevadas. Isso pode levar ao roubo de segredos do GitHub, como chaves de API e tokens de acesso, ou à modificação do código do repositório. A possibilidade de incluir código de forks ou scripts de ciclo de vida aumenta o potencial de ataque, permitindo que atacantes comprometam não apenas o repositório principal, mas também seus forks públicos. O raio de impacto abrange qualquer repositório Parse Server que utilize GitHub Actions e esteja em versões vulneráveis.
A vulnerabilidade foi divulgada em 2025-12-12. Não há informações disponíveis sobre a adição a KEV (CISA KEV catalog) ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada média, devido à popularidade do Parse Server e à facilidade de exploração da vulnerabilidade. É recomendável aplicar a correção o mais rápido possível para evitar possíveis ataques.
Organizations utilizing Parse Server for their backend infrastructure and relying on GitHub Actions for CI/CD are at significant risk. This includes startups, enterprises, and open-source projects that have deployed Parse Server and enabled GitHub Actions for automated builds and deployments. Legacy configurations and repositories with permissive GitHub Actions permissions are particularly vulnerable.
• github / workflows: Examine GitHub Actions workflows for unusual permission configurations or suspicious code execution.
# Example: Check for workflows with elevated permissions
permissions:
contents: read # Restrict to read-only access where possible
actions: read• github / repository: Monitor repository activity for unexpected changes or code modifications, especially within CI/CD related directories. • generic web: Review GitHub Actions logs for any unauthorized access attempts or suspicious activity. • linux / server: Examine system logs for any unusual processes or network connections originating from the CI/CD environment.
disclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A correção oficial para essa vulnerabilidade está disponível na versão 8.6.0-alpha.2 do Parse Server. A atualização para essa versão é a medida mais eficaz para mitigar o risco. Enquanto isso, é possível implementar algumas medidas paliativas, como revisar cuidadosamente os workflows do GitHub Actions para identificar e remover quaisquer permissões desnecessárias. Restringir o acesso a segredos e implementar políticas de segurança mais rigorosas para os workflows também pode ajudar a reduzir o impacto potencial de uma exploração. Após a atualização, confirme a correção verificando os logs do Parse Server e monitorando a atividade do GitHub Actions para detectar qualquer comportamento suspeito.
Atualize Parse Server para a versão 8.6.0-alpha.2 ou superior. Isso corrige a vulnerabilidade de execução remota de código (RCE) causada pelo gerenciamento inadequado de privilégios no fluxo de trabalho do GitHub CI. A atualização mitiga o risco de acesso não autorizado a segredos do GitHub e permissões de escrita.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-67727 is a critical vulnerability in Parse Server versions up to 8.5.0 that allows unauthorized access to GitHub secrets via a flawed CI workflow, potentially leading to remote code execution.
If you are using Parse Server version 8.5.0 or earlier and have enabled GitHub Actions for your CI/CD pipeline, you are likely affected by this vulnerability.
Upgrade Parse Server to version 8.6.0-alpha.2 or later to remediate the vulnerability. Consider disabling affected CI/CD workflows as a temporary workaround.
While no public exploits have been reported, the vulnerability's critical severity and ease of exploitation suggest a high probability of exploitation.
Refer to the official Parse Server security advisory for detailed information and updates: [https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/parse/parse-server/security/advisories/GHSA-xxxx-xxxx-xxxx) - Replace with actual advisory URL.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.