一、 漏洞 CVE-2025-53364 基础信息
漏洞信息
                                        # Parse Server 通过 GraphQL API 公开数据结构schema

## 漏洞概述
Parse Server 的 GraphQL API 在未修复的版本中允许公共访问 GraphQL 模式,而无需使用会话令牌或 master key。尽管模式introspection仅显示元数据而不是实际数据,但这些元数据仍可扩大潜在的攻击面。

## 影响版本
- 5.3.0 到 7.5.2
- 8.0.0 到 8.2.1

## 细节
在 5.3.0 至 7.5.2 和 8.0.0 至 8.2.1 之间,Parse Server 的 GraphQL API 允许公共访问 GraphQL 模式,无需会话令牌或 master key。这种访问仅揭示了元数据,而没有实际数据,但这些元数据可能扩展攻击面。

## 影响
由于可以公开访问 GraphQL 模式,攻击者可能利用这些元数据来策划进一步的攻击。此漏洞已在 7.5.3 和 8.2.2 中得到修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Parse Server exposes the data schema via GraphQL API
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Starting in 5.3.0 and before 7.5.3 and 8.2.2, the Parse Server GraphQL API previously allowed public access to the GraphQL schema without requiring a session token or the master key. While schema introspection reveals only metadata and not actual data, this metadata can still expand the potential attack surface. This vulnerability is fixed in 7.5.3 and 8.2.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
将系统数据暴露到未授权控制的范围
来源:美国国家漏洞数据库 NVD
漏洞标题
Parse Server 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Parse Server是Parse Platform开源的一个开源后端,可以部署到任何可以运行 Node.js 的基础设施。 Parse Server 5.3.0至7.5.3之前版本和8.2.2之前版本存在安全漏洞,该漏洞源于GraphQL API未验证会话令牌或主密钥。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53364 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-53364 的情报信息

  • 标题: fix: Data schema exposed via GraphQL API public introspection (GHSA-48q3-prgv-gm4w) by mtrezza · Pull Request #9819 · parse-community/parse-server · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix: Data schema exposed via GraphQL API public introspection (GHSA-48q3-prgv-gm4w) by mtrezza · Pull Request #9819 · parse-community/parse-server · GitHub

  • 标题: fix: Data schema exposed via GraphQL API public introspection (GHSA-48q3-prgv-gm4w) by mtrezza · Pull Request #9820 · parse-community/parse-server · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    fix: Data schema exposed via GraphQL API public introspection (GHSA-48q3-prgv-gm4w) by mtrezza · Pull Request #9820 · parse-community/parse-server · GitHub

  • 标题: Data schema exposed via GraphQL API public introspection · Advisory · parse-community/parse-server · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Data schema exposed via GraphQL API public introspection · Advisory · parse-community/parse-server · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-53364