Parse Server 是一个开源后端，可以部署到运行 Node.js 的任何基础设施。在 8.6.0-alpha.2 之前的版本中，一个 GitHub CI 工作流以一种方式触发，从而授予 GitHub Actions 工作流提升的权限，使其能够访问工作流中定义的 GitHub secrets 和写入权限。fork 或生命周期脚本的代码可能包含在内。仅受限于仓库的 CI/CD 基础设施，包括任何启用了 GitHub Actions 的公共 GitHub forks。

此漏洞的影响非常严重。攻击者可以利用此漏洞访问和泄露 GitHub 密钥，这些密钥可能包含敏感信息，例如 API 密钥、数据库密码和其他凭据。攻击者还可以利用这些密钥来修改 Parse Server 代码，执行恶意操作，甚至完全控制服务器。由于 Parse Server 广泛应用于各种应用程序的后端，因此此漏洞可能导致大规模的数据泄露和系统破坏。攻击者可能利用此漏洞进行横向移动，攻击与 Parse Server 集成的其他系统。类似 GitHub Actions 权限滥用事件，此漏洞的潜在影响不容忽视。

Organizations utilizing Parse Server for their backend infrastructure and relying on GitHub Actions for CI/CD are at significant risk. This includes startups, enterprises, and open-source projects that have deployed Parse Server and enabled GitHub Actions for automated builds and deployments. Legacy configurations and repositories with permissive GitHub Actions permissions are particularly vulnerable.

• github / workflows: Examine GitHub Actions workflows for unusual permission configurations or suspicious code execution.

# Example: Check for workflows with elevated permissions
permissions:
  contents: read # Restrict to read-only access where possible
  actions: read

• github / repository: Monitor repository activity for unexpected changes or code modifications, especially within CI/CD related directories. • generic web: Review GitHub Actions logs for any unauthorized access attempts or suspicious activity. • linux / server: Examine system logs for any unusual processes or network connections originating from the CI/CD environment.

1. 2025-12-12Disclosure

   disclosure

1. 已保留2025-12-10
2. 发布日期2025-12-12
3. 修改日期2025-12-22
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级 Parse Server 至 8.6.0-alpha.2 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：审查 GitHub CI 工作流的配置，确保没有授予不必要的权限。限制 GitHub Actions 访问敏感密钥的范围。实施多因素身份验证 (MFA) 以增强 GitHub 帐户的安全性。监控 GitHub 仓库的活动，及时发现可疑行为。升级后，请验证 Parse Server 的配置是否正确，并检查是否有任何未经授权的更改。