CVE-2025-68115

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2025-68115

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-68115.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2025-68115

Aliases

Published

2025-12-16T00:56:23.452Z

Modified

2026-01-29T02:50:57.670842Z

Severity

5.3 (Medium) CVSS_V4 - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N CVSS Calculator

Summary

Parse Server vulnerable to Cross-Site Scripting (XSS) via Unescaped Mustache Template Variables

Details

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. In versions prior to 8.6.1 and 9.1.0-alpha.3, a Reflected Cross-Site Scripting (XSS) vulnerability exists in Parse Server's password reset and email verification HTML pages. The patch, available in versions 8.6.1 and 9.1.0-alpha.3, escapes user controlled values that are inserted into the HTML pages. No known workarounds are available.

Database specific

{
    "cwe_ids": [
        "CWE-79"
    ],
    "cna_assigner": "GitHub_M",
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/68xxx/CVE-2025-68115.json"
}

References

Affected packages

Git / github.com/parse-community/parse-server

Affected ranges

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

Fixed

0b032a3f8735b8e1dab8608bcacfc5b346327e4b

Database specific

{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "fixed": "8.6.1"
        }
    ]
}

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

532a461d30a6ed4457839f2caf5f30d5abf51a55

Fixed

98a42e5277e458f5a7ce0969b95589f6860149f4

Database specific

{
    "versions": [
        {
            "introduced": "9.0.0"
        },
        {
            "fixed": "9.1.0-alpha.3"
        }
    ]
}

Affected versions

2.*

2.0.0

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

2.0.6

2.0.7

2.0.8

2.1.0

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.2.0

2.2.1

2.2.10

2.2.11

2.2.12

2.2.13

2.2.14

2.2.15

2.2.16

2.2.17

2.2.18

2.2.19

2.2.2

2.2.20

2.2.21

2.2.22

2.2.23

2.2.24

2.2.25

2.2.25-beta.1

2.2.3

2.2.4

2.2.5

2.2.6

2.2.7

2.2.8

2.2.9

2.3.1

2.3.2

2.3.3

2.3.4

2.3.5

2.3.6

2.3.7

2.3.8

2.4.0

2.4.1

2.4.2

2.5.0

2.5.1

2.5.2

2.5.3

2.6.0

2.6.1

2.6.2

2.6.3

2.6.4

2.6.5

2.7.0

2.7.1

2.7.2

2.7.3

2.7.4

2.8.0

2.8.2

3.*

3.0.0

3.1.0

3.1.1

3.1.2

3.1.3

3.10.0

3.2.0

3.2.1

3.2.2

3.2.3

3.3.0

3.4.0

3.4.1

3.5.0

3.6.0

3.7.0

3.7.1

3.7.2

3.8.0

3.9.0

4.*

4.0.0

4.0.1

4.0.2

4.1.0

4.2.0

4.3.0

4.4.0

4.5.0

5.*

5.0.0

5.0.0-alpha.1

5.0.0-alpha.10

5.0.0-alpha.11

5.0.0-alpha.12

5.0.0-alpha.13

5.0.0-alpha.14

5.0.0-alpha.15

5.0.0-alpha.16

5.0.0-alpha.17

5.0.0-alpha.18

5.0.0-alpha.19

5.0.0-alpha.2

5.0.0-alpha.20

5.0.0-alpha.21

5.0.0-alpha.22

5.0.0-alpha.23

5.0.0-alpha.24

5.0.0-alpha.25

5.0.0-alpha.26

5.0.0-alpha.27

5.0.0-alpha.28

5.0.0-alpha.29

5.0.0-alpha.3

5.0.0-alpha.4

5.0.0-alpha.5

5.0.0-alpha.6

5.0.0-alpha.7

5.0.0-alpha.8

5.0.0-alpha.9

5.0.0-beta.1

5.0.0-beta.10

5.0.0-beta.2

5.0.0-beta.3

5.0.0-beta.4

5.0.0-beta.5

5.0.0-beta.6

5.0.0-beta.7

5.0.0-beta.8

5.0.0-beta.9

5.1.0

5.1.1

5.2.0

5.2.0-alpha.1

5.2.0-alpha.2

5.2.0-alpha.3

5.2.0-beta.1

5.2.0-beta.2

5.2.1

5.2.2

5.2.3

5.2.4

5.2.5

5.2.6

5.2.7

5.2.8

5.3.0

5.3.0-alpha.10

5.3.0-alpha.11

5.3.0-alpha.12

5.3.0-alpha.13

5.3.0-alpha.14

5.3.0-alpha.15

5.3.0-alpha.16

5.3.0-alpha.17

5.3.0-alpha.18

5.3.0-alpha.19

5.3.0-alpha.20

5.3.0-alpha.21

5.3.0-alpha.22

5.3.0-alpha.23

5.3.0-alpha.24

5.3.0-alpha.25

5.3.0-alpha.26

5.3.0-alpha.27

5.3.0-alpha.28

5.3.0-alpha.29

5.3.0-alpha.30

5.3.0-alpha.31

5.3.0-alpha.32

5.3.0-alpha.7

5.3.0-alpha.8

5.3.0-alpha.9

5.3.0-beta.1

5.3.1

5.3.2

5.3.3

5.4.0

5.4.0-alpha.1

5.4.0-beta.1

6.*

6.0.0

6.0.0-alpha.1

6.0.0-alpha.10

6.0.0-alpha.11

6.0.0-alpha.12

6.0.0-alpha.13

6.0.0-alpha.14

6.0.0-alpha.15

6.0.0-alpha.16

6.0.0-alpha.17

6.0.0-alpha.18

6.0.0-alpha.19

6.0.0-alpha.2

6.0.0-alpha.20

6.0.0-alpha.21

6.0.0-alpha.22

6.0.0-alpha.23

6.0.0-alpha.24

6.0.0-alpha.25

6.0.0-alpha.26

6.0.0-alpha.27

6.0.0-alpha.28

6.0.0-alpha.29

6.0.0-alpha.3

6.0.0-alpha.30

6.0.0-alpha.31

6.0.0-alpha.32

6.0.0-alpha.33

6.0.0-alpha.34

6.0.0-alpha.35

6.0.0-alpha.4

6.0.0-alpha.5

6.0.0-alpha.6

6.0.0-alpha.7

6.0.0-alpha.8

6.0.0-alpha.9

6.0.0-beta.1

6.1.0

6.1.0-alpha.1

6.1.0-alpha.10

6.1.0-alpha.11

6.1.0-alpha.12

6.1.0-alpha.13

6.1.0-alpha.14

6.1.0-alpha.15

6.1.0-alpha.16

6.1.0-alpha.17

6.1.0-alpha.18

6.1.0-alpha.19

6.1.0-alpha.2

6.1.0-alpha.20

6.1.0-alpha.3

6.1.0-alpha.4

6.1.0-alpha.5

6.1.0-alpha.6

6.1.0-alpha.7

6.1.0-alpha.8

6.1.0-alpha.9

6.1.0-beta.1

6.1.0-beta.2

6.2.0

6.2.1

6.2.2

6.3.0

6.3.0-alpha.1

6.3.0-alpha.2

6.3.0-alpha.3

6.3.0-alpha.4

6.3.0-alpha.5

6.3.0-alpha.6

6.3.0-alpha.7

6.3.0-alpha.8

6.3.0-alpha.9

6.3.0-beta.1

6.3.1

6.4.0

6.4.0-alpha.1

6.4.0-alpha.2

6.4.0-alpha.3

6.4.0-alpha.4

6.4.0-alpha.5

6.4.0-alpha.6

6.4.0-alpha.7

6.4.0-alpha.8

6.4.0-beta.1

6.5.0-alpha.1

6.5.0-alpha.2

6.5.0-beta.1

7.*

7.0.0

7.0.0-alpha.1

7.0.0-alpha.10

7.0.0-alpha.11

7.0.0-alpha.12

7.0.0-alpha.13

7.0.0-alpha.14

7.0.0-alpha.15

7.0.0-alpha.16

7.0.0-alpha.17

7.0.0-alpha.18

7.0.0-alpha.19

7.0.0-alpha.2

7.0.0-alpha.20

7.0.0-alpha.21

7.0.0-alpha.22

7.0.0-alpha.23

7.0.0-alpha.24

7.0.0-alpha.25

7.0.0-alpha.26

7.0.0-alpha.27

7.0.0-alpha.28

7.0.0-alpha.29

7.0.0-alpha.3

7.0.0-alpha.30

7.0.0-alpha.31

7.0.0-alpha.4

7.0.0-alpha.5

7.0.0-alpha.6

7.0.0-alpha.7

7.0.0-alpha.8

7.0.0-alpha.9

7.0.0-beta.1

7.1.0

7.1.0-alpha.1

7.1.0-alpha.10

7.1.0-alpha.11

7.1.0-alpha.12

7.1.0-alpha.13

7.1.0-alpha.14

7.1.0-alpha.15

7.1.0-alpha.16

7.1.0-alpha.2

7.1.0-alpha.3

7.1.0-alpha.4

7.1.0-alpha.5

7.1.0-alpha.6

7.1.0-alpha.7

7.1.0-alpha.8

7.1.0-alpha.9

7.1.0-beta.1

7.2.0

7.2.0-beta.1

7.3.0

7.3.0-alpha.1

7.3.0-alpha.2

7.3.0-alpha.3

7.3.0-alpha.4

7.3.0-alpha.5

7.3.0-alpha.6

7.3.0-alpha.7

7.3.0-alpha.8

7.3.0-alpha.9

7.3.0-beta.1

7.3.1-alpha.1

7.4.0

7.4.0-alpha.1

7.4.0-alpha.2

7.4.0-alpha.3

7.4.0-alpha.4

7.4.0-alpha.5

7.4.0-alpha.6

7.4.0-alpha.7

7.4.0-beta.1

8.*

8.0.0

8.0.0-alpha.1

8.0.0-alpha.10

8.0.0-alpha.11

8.0.0-alpha.12

8.0.0-alpha.13

8.0.0-alpha.14

8.0.0-alpha.15

8.0.0-alpha.2

8.0.0-alpha.3

8.0.0-alpha.4

8.0.0-alpha.5

8.0.0-alpha.6

8.0.0-alpha.7

8.0.0-alpha.8

8.0.0-alpha.9

8.0.1

8.0.1-alpha.1

8.0.1-alpha.2

8.0.2

8.0.2-alpha.1

8.1.0

8.1.0-alpha.1

8.1.0-alpha.2

8.1.0-alpha.3

8.1.0-alpha.4

8.1.1-alpha.1

8.2.0

8.2.0-alpha.1

8.2.1

8.2.1-alpha.1

8.2.1-alpha.2

8.2.2

8.2.2-alpha.1

8.2.3

8.2.3-alpha.1

8.2.4

8.2.4-alpha.1

8.2.5

8.2.5-alpha.1

8.3.0

8.3.0-alpha.1

8.3.0-alpha.10

8.3.0-alpha.11

8.3.0-alpha.12

8.3.0-alpha.13

8.3.0-alpha.14

8.3.0-alpha.2

8.3.0-alpha.3

8.3.0-alpha.4

8.3.0-alpha.5

8.3.0-alpha.6

8.3.0-alpha.7

8.3.0-alpha.8

8.3.0-alpha.9

8.3.1-alpha.1

8.4.0

8.4.0-alpha.1

8.4.0-alpha.2

8.5.0

8.5.0-alpha.1

8.5.0-alpha.10

8.5.0-alpha.11

8.5.0-alpha.12

8.5.0-alpha.13

8.5.0-alpha.14

8.5.0-alpha.15

8.5.0-alpha.16

8.5.0-alpha.17

8.5.0-alpha.18

8.5.0-alpha.2

8.5.0-alpha.3

8.5.0-alpha.4

8.5.0-alpha.5

8.5.0-alpha.6

8.5.0-alpha.7

8.5.0-alpha.8

8.5.0-alpha.9

8.6.0

8.6.0-alpha.1

8.6.0-alpha.2

9.*

9.0.0

9.1.0-alpha.1

9.1.0-alpha.2

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-68115.json"