关键漏洞信息 漏洞概述 漏洞类型: Server-Side Request Forgery (SSRF) 影响功能: File Upload via URI Format 影响版本: >= 4.2.0, = 8.0.0, <= 8.4.0-alpha.1 修复版本: 7.5.4, 8.4.0-alpha.2, 8.4.0-alpha.1 漏洞详情 影响 在处理包含 参数的 上传时,存在 SSRF 漏洞,允许执行任意 URI 请求。 该漏洞源于文件上传功能中从请求提供的 URI 检索文件数据时,Parse Server 会执行对指定 URI 的请求,但不会存储响应。 Parse Server 在尝试处理响应时崩溃。 修复措施 该功能在 Parse Server 4.2.0 中引入,但由于实现中的 bug 导致服务器崩溃。 由于该功能目前不可用且存在风险,已被移除以修复漏洞。 CVSS 评估 严重性: High (7.5/10) 矢量: Network 复杂度: Low 权限要求: None 用户交互: None 作用范围: Unchanged 机密性: None 完整性: None 可用性: High CVE ID: CVE-2025-64430 弱点分类 CWE-918 参考 GHSA-x4qj-2f4q-r4rx #9903 (Parse Server 8 的修复) #9904 (Parse Server 7 的修复)