平台
nodejs
组件
parse-server
修复版本
8.6.3
9.0.1
8.6.3
9.1.1-alpha.1
CVE-2025-68150 是 Parse Server 中的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过 authData 中的 apiURL 参数指定自定义 API URL,从而可能绕过身份验证。该漏洞影响 Parse Server 9.1.1-alpha.1 之前的版本。已通过硬编码 Instagram Graph API URL 并忽略客户端提供的 apiURL 值来修复此问题。
攻击者可以利用此 SSRF 漏洞向内部网络或外部服务发起未经授权的请求,伪造请求来源。如果恶意端点返回虚假的响应,这可能导致身份验证绕过,攻击者可以冒充合法用户访问 Parse Server 的资源。攻击者可能能够读取敏感数据,执行未经授权的操作,甚至可能利用此漏洞进行进一步的攻击,例如扫描内部网络或访问其他敏感系统。由于 Parse Server 广泛应用于各种移动后端服务,因此该漏洞的潜在影响范围广泛。
此漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于 SSRF 漏洞的普遍性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。公开的 PoC 尚未发现,但 SSRF 漏洞通常容易被利用。
Organizations utilizing Parse Server for backend services, particularly those integrating with Instagram authentication, are at risk. This includes applications relying on custom API URLs for authentication and those running older, unpatched versions of Parse Server.
• nodejs / server:
grep -r 'authData.apiURL' /opt/parse-server/app/lib/instagram.js• generic web:
curl -I https://your-parse-server/instagram/auth | grep apiURLdisclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CISA SSVC
Parse Server 9.1.1-alpha.1 或更高版本修复了此漏洞。如果无法立即升级,建议采取以下缓解措施:限制 Parse Server 的网络访问权限,仅允许其访问必要的外部服务。实施严格的输入验证,过滤掉任何可疑的 apiURL 值。监控 Parse Server 的日志,查找任何异常的网络请求或身份验证尝试。由于此漏洞没有明确的回退步骤,升级是首选的缓解方法。
将 Parse Server 更新到 8.6.2 或更高版本。如果正在使用 9.x 版本,请更新到 9.1.1-alpha.1 或更高版本。这通过硬编码 Instagram API URL 并阻止客户端指定自定义 URL 来修复 SSRF 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68150 是 Parse Server 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 apiURL 参数发起未经授权的请求,可能导致身份验证绕过。
如果您正在使用 Parse Server 9.1.1-alpha.1 之前的版本,则可能受到此漏洞的影响。请尽快升级到最新版本。
升级到 Parse Server 9.1.1-alpha.1 或更高版本。如果无法升级,请限制 Parse Server 的网络访问权限并实施严格的输入验证。
目前尚未观察到大规模的利用活动,但由于 SSRF 漏洞的普遍性,建议尽快采取缓解措施。
请查阅 Parse Server 的官方安全公告或 GitHub 仓库,以获取有关此漏洞的更多信息和修复指南。