Parse Server中的安全漏洞CVE-2025-64430

Parse Server是一个开源的后端框架，兼容Parse.com API，支持Node.js部署，与Express框架集成，构建移动应用或Web应用后端服务。

一、基本情况

Parse Server是可在任何运行Node.js的基础设施上部署的开源后端，支持MongoDB和PostgreSQL，通过配置databaseURI实现灵活切换。

Parse Server完全兼容Parse.com的REST API，支持用户认证、数据存储、云代码等核心功能，提供ACL权限控制、数据加密等安全机制。

栋科技漏洞库关注到 Parse Server 受影响版本中存在一个安全漏洞，该漏洞现在已被追踪为CVE-2025-64430，漏洞CVSS 3.X评分为7.5。

二、漏洞分析

CVE-2025-64430漏洞影响范围包括版本4.2.0至7.5.3以及版本8.0.0至8.3.1-alpha之间的版本，该漏洞已在版本7.5.4和8.4.0-alpha中修复。

具体而言，当尝试上传带有URI参数的Parse.File时，文件上传功能中存在一种服务器端请求伪造（SSRF）漏洞，漏洞允许执行任意URI。

对提供的URI的请求被执行，但响应没有被存储在Parse Server的文件存储中，因为服务器在收到响应时会崩溃。

该漏洞源于Parse Server的文件上传功能，在该功能中，解析服务器从请求中提供的URI检索文件数据。

该功能已在ParseServer4.2.0中实现，但从未工作过，并且由于实现中的错误，在尝试使用它时会可靠地使服务器崩溃。

由于该功能目前不起作用，并且由于其风险性，已将其删除以解决该漏洞。

三、影响范围

Affected versions

Parse Server >= 4.2.0

Parse Server < 7.5.4 >= 8.0.0

Parse Server <= 8.4.0-alpha.1

四、修复建议

Parse Server >= 7.5.4, 8.4.0-alpha.2

五、参考链接

管理员已设置登录后刷新可查看