Parse Server文件上传SSRF漏洞分析:CVE-2025-64430技术详解

本文详细解析Parse Server在文件上传功能中存在的服务端请求伪造漏洞。该漏洞允许攻击者通过URI参数执行任意请求,导致服务器崩溃。影响版本包括4.2.0至7.5.3和8.0.0至8.4.0-alpha.1。

漏洞概述

CVE-2025-64430 是Parse Server中存在的一个服务端请求伪造漏洞,安全评级为高危(CVSS评分7.5)。该漏洞影响文件上传功能,当使用URI参数上传Parse.File时,攻击者可利用此漏洞执行任意URI请求。

受影响版本

  • 大于等于4.2.0,小于7.5.4的所有版本
  • 大于等于8.0.0,小于等于8.4.0-alpha.1的所有版本

漏洞详情

技术原理

该SSRF漏洞源于Parse Server的文件上传功能实现缺陷。当用户尝试通过uri参数上传文件时,服务器会从请求中提供的URI获取文件数据。然而,服务器在接收到响应后会崩溃,导致响应数据无法存储到Parse Server的文件存储中。

漏洞特征

  • 攻击向量:网络
  • 攻击复杂度:低
  • 所需权限:无
  • 用户交互:无
  • 影响范围:未改变
  • 机密性影响:无
  • 完整性影响:无
  • 可用性影响:高

修复方案

补丁版本

  • 7.5.4
  • 8.4.0-alpha.2

修复措施

该功能自Parse Server 4.2.0版本引入后一直存在实现缺陷,使用时会导致服务器可靠崩溃。考虑到该功能的风险性质且当前无法正常工作,开发团队决定直接移除该功能以解决漏洞。

临时解决方案

无可用临时解决方案。

参考链接

  • GHSA-x4qj-2f4q-r4rx
  • parse-community/parse-server#9903
  • parse-community/parse-server#9904
  • 相关提交:8bbe3ef、9776386

致谢

漏洞由jacksonkasi1报告,mtrezza协调处理。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次