Plataforma
nodejs
Componente
parse-server
Corrigido em
8.6.3
9.0.1
8.6.3
9.1.1-alpha.1
O CVE-2025-68150 é uma vulnerabilidade de SSRF (Server-Side Request Forgery) descoberta no parse-server, um framework para construir backends REST para aplicativos móveis. Essa falha permite que atacantes explorem a funcionalidade de autenticação do Instagram, potencialmente levando a bypass de autenticação. A vulnerabilidade afeta versões anteriores a 9.1.1-alpha.1 e foi corrigida hardcodificando a URL da API do Instagram.
A vulnerabilidade SSRF no parse-server, especificamente na adaptação de autenticação do Instagram, permite que atacantes injetem URLs arbitrárias no parâmetro apiURL. Isso possibilita que um atacante faça requisições para servidores internos ou externos que não deveriam ser acessíveis, potencialmente expondo informações sensíveis ou comprometendo a segurança do sistema. Em um cenário de ataque bem-sucedido, um atacante poderia manipular a resposta do servidor de autenticação, fazendo com que o parse-server autentique usuários não autorizados, resultando em acesso não autorizado a dados e funcionalidades do aplicativo. A exploração bem-sucedida pode levar a um comprometimento significativo da aplicação e seus dados.
O CVE-2025-68150 foi publicado em 2025-12-16. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há provas públicas de um proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade SSRF a torna um alvo potencial para exploração. É recomendável monitorar a comunidade de segurança em busca de novas informações e PoCs.
Organizations utilizing Parse Server for backend services, particularly those integrating with Instagram authentication, are at risk. This includes applications relying on custom API URLs for authentication and those running older, unpatched versions of Parse Server.
• nodejs / server:
grep -r 'authData.apiURL' /opt/parse-server/app/lib/instagram.js• generic web:
curl -I https://your-parse-server/instagram/auth | grep apiURLdisclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
CISA SSVC
A correção oficial para o CVE-2025-68150 envolve a atualização para a versão 9.1.1-alpha.1 ou superior do parse-server. Essa versão hardcodifica a URL da API do Instagram, eliminando a possibilidade de um atacante injetar uma URL maliciosa. Como não há workarounds documentados, a atualização é a mitigação recomendada. Após a atualização, verifique se a autenticação do Instagram está funcionando corretamente, testando o login de usuários e garantindo que as permissões sejam aplicadas conforme o esperado.
Atualize Parse Server para a versão 8.6.2 ou superior. Se estiver utilizando uma versão 9.x, atualize para a versão 9.1.1-alpha.1 ou superior. Isso corrige a vulnerabilidade SSRF ao hardcodificar a URL da API do Instagram e evitar que os clientes especifiquem uma URL personalizada.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68150 é uma vulnerabilidade de SSRF no parse-server que permite ataques via o parâmetro apiURL, possibilitando bypass de autenticação.
Se você estiver utilizando uma versão do parse-server anterior a 9.1.1-alpha.1, você está potencialmente afetado por esta vulnerabilidade.
Atualize para a versão 9.1.1-alpha.1 ou superior do parse-server, que corrige a vulnerabilidade hardcodificando a URL da API do Instagram.
Atualmente, não há evidências públicas de exploração ativa, mas a natureza da vulnerabilidade a torna um alvo potencial.
Consulte a documentação oficial do parse-server e os canais de comunicação da comunidade para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.