CVE-2025-68150

See a problem?
Please try reporting it to the source first.

Source

https://cve.org/CVERecord?id=CVE-2025-68150

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-68150.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2025-68150

Aliases

Published

2025-12-16T18:15:09.128Z

Modified

2026-03-01T02:55:09.890501Z

Severity

8.3 (High) CVSS_V4 - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N CVSS Calculator

Summary

Parse Server has Server-Side Request Forgery (SSRF) in Instagram OAuth Adapter

Details

Parse Server is an open source backend that can be deployed to any infrastructure that can run Node.js. Prior to versions 8.6.2 and 9.1.1-alpha.1, the Instagram authentication adapter allows clients to specify a custom API URL via the apiURL parameter in authData. This enables SSRF attacks and possibly authentication bypass if malicious endpoints return fake responses to validate unauthorized users. This is fixed in versions 8.6.2 and 9.1.1-alpha.1 by hardcoding the Instagram Graph API URL https://graph.instagram.com and ignoring client-provided apiURL values. No known workarounds are available.

Database specific

{
    "cwe_ids": [
        "CWE-918"
    ],
    "cna_assigner": "GitHub_M",
    "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/68xxx/CVE-2025-68150.json"
}

References

Affected packages

Git / github.com/parse-community/parse-server

Affected ranges

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

Fixed

035b9b549ebaac78e6e1a8d7727c216447b3c51e

Database specific

{
    "versions": [
        {
            "introduced": "0"
        },
        {
            "fixed": "8.6.2"
        }
    ]
}

Type

GIT

Repo

https://github.com/parse-community/parse-server

Events

Introduced

532a461d30a6ed4457839f2caf5f30d5abf51a55

Fixed

3d395b3ce56ebf87be6cc41bb42e32ae94b47b4f

Database specific

{
    "versions": [
        {
            "introduced": "9.0.0"
        },
        {
            "fixed": "9.1.1-alpha.1"
        }
    ]
}

Affected versions

2.*

2.0.0

2.0.1

2.0.2

2.0.3

2.0.4

2.0.5

2.0.6

2.0.7

2.0.8

2.1.0

2.1.1

2.1.2

2.1.3

2.1.4

2.1.5

2.1.6

2.2.0

2.2.1

2.2.10

2.2.11

2.2.12

2.2.13

2.2.14

2.2.15

2.2.16

2.2.17

2.2.18

2.2.19

2.2.2

2.2.20

2.2.21

2.2.22

2.2.23

2.2.24

2.2.25

2.2.25-beta.1

2.2.3

2.2.4

2.2.5

2.2.6

2.2.7

2.2.8

2.2.9

2.3.1

2.3.2

2.3.3

2.3.4

2.3.5

2.3.6

2.3.7

2.3.8

2.4.0

2.4.1

2.4.2

2.5.0

2.5.1

2.5.2

2.5.3

2.6.0

2.6.1

2.6.2

2.6.3

2.6.4

2.6.5

2.7.0

2.7.1

2.7.2

2.7.3

2.7.4

2.8.0

2.8.2

3.*

3.0.0

3.1.0

3.1.1

3.1.2

3.1.3

3.10.0

3.2.0

3.2.1

3.2.2

3.2.3

3.3.0

3.4.0

3.4.1

3.5.0

3.6.0

3.7.0

3.7.1

3.7.2

3.8.0

3.9.0

4.*

4.0.0

4.0.1

4.0.2

4.1.0

4.2.0

4.3.0

4.4.0

4.5.0

5.*

5.0.0

5.0.0-alpha.1

5.0.0-alpha.10

5.0.0-alpha.11

5.0.0-alpha.12

5.0.0-alpha.13

5.0.0-alpha.14

5.0.0-alpha.15

5.0.0-alpha.16

5.0.0-alpha.17

5.0.0-alpha.18

5.0.0-alpha.19

5.0.0-alpha.2

5.0.0-alpha.20

5.0.0-alpha.21

5.0.0-alpha.22

5.0.0-alpha.23

5.0.0-alpha.24

5.0.0-alpha.25

5.0.0-alpha.26

5.0.0-alpha.27

5.0.0-alpha.28

5.0.0-alpha.29

5.0.0-alpha.3

5.0.0-alpha.4

5.0.0-alpha.5

5.0.0-alpha.6

5.0.0-alpha.7

5.0.0-alpha.8

5.0.0-alpha.9

5.0.0-beta.1

5.0.0-beta.10

5.0.0-beta.2

5.0.0-beta.3

5.0.0-beta.4

5.0.0-beta.5

5.0.0-beta.6

5.0.0-beta.7

5.0.0-beta.8

5.0.0-beta.9

5.1.0

5.1.1

5.2.0

5.2.0-alpha.1

5.2.0-alpha.2

5.2.0-alpha.3

5.2.0-beta.1

5.2.0-beta.2

5.2.1

5.2.2

5.2.3

5.2.4

5.2.5

5.2.6

5.2.7

5.2.8

5.3.0

5.3.0-alpha.10

5.3.0-alpha.11

5.3.0-alpha.12

5.3.0-alpha.13

5.3.0-alpha.14

5.3.0-alpha.15

5.3.0-alpha.16

5.3.0-alpha.17

5.3.0-alpha.18

5.3.0-alpha.19

5.3.0-alpha.20

5.3.0-alpha.21

5.3.0-alpha.22

5.3.0-alpha.23

5.3.0-alpha.24

5.3.0-alpha.25

5.3.0-alpha.26

5.3.0-alpha.27

5.3.0-alpha.28

5.3.0-alpha.29

5.3.0-alpha.30

5.3.0-alpha.31

5.3.0-alpha.32

5.3.0-alpha.7

5.3.0-alpha.8

5.3.0-alpha.9

5.3.0-beta.1

5.3.1

5.3.2

5.3.3

5.4.0

5.4.0-alpha.1

5.4.0-beta.1

6.*

6.0.0

6.0.0-alpha.1

6.0.0-alpha.10

6.0.0-alpha.11

6.0.0-alpha.12

6.0.0-alpha.13

6.0.0-alpha.14

6.0.0-alpha.15

6.0.0-alpha.16

6.0.0-alpha.17

6.0.0-alpha.18

6.0.0-alpha.19

6.0.0-alpha.2

6.0.0-alpha.20

6.0.0-alpha.21

6.0.0-alpha.22

6.0.0-alpha.23

6.0.0-alpha.24

6.0.0-alpha.25

6.0.0-alpha.26

6.0.0-alpha.27

6.0.0-alpha.28

6.0.0-alpha.29

6.0.0-alpha.3

6.0.0-alpha.30

6.0.0-alpha.31

6.0.0-alpha.32

6.0.0-alpha.33

6.0.0-alpha.34

6.0.0-alpha.35

6.0.0-alpha.4

6.0.0-alpha.5

6.0.0-alpha.6

6.0.0-alpha.7

6.0.0-alpha.8

6.0.0-alpha.9

6.0.0-beta.1

6.1.0

6.1.0-alpha.1

6.1.0-alpha.10

6.1.0-alpha.11

6.1.0-alpha.12

6.1.0-alpha.13

6.1.0-alpha.14

6.1.0-alpha.15

6.1.0-alpha.16

6.1.0-alpha.17

6.1.0-alpha.18

6.1.0-alpha.19

6.1.0-alpha.2

6.1.0-alpha.20

6.1.0-alpha.3

6.1.0-alpha.4

6.1.0-alpha.5

6.1.0-alpha.6

6.1.0-alpha.7

6.1.0-alpha.8

6.1.0-alpha.9

6.1.0-beta.1

6.1.0-beta.2

6.2.0

6.2.1

6.2.2

6.3.0

6.3.0-alpha.1

6.3.0-alpha.2

6.3.0-alpha.3

6.3.0-alpha.4

6.3.0-alpha.5

6.3.0-alpha.6

6.3.0-alpha.7

6.3.0-alpha.8

6.3.0-alpha.9

6.3.0-beta.1

6.3.1

6.4.0

6.4.0-alpha.1

6.4.0-alpha.2

6.4.0-alpha.3

6.4.0-alpha.4

6.4.0-alpha.5

6.4.0-alpha.6

6.4.0-alpha.7

6.4.0-alpha.8

6.4.0-beta.1

6.5.0-alpha.1

6.5.0-alpha.2

6.5.0-beta.1

7.*

7.0.0

7.0.0-alpha.1

7.0.0-alpha.10

7.0.0-alpha.11

7.0.0-alpha.12

7.0.0-alpha.13

7.0.0-alpha.14

7.0.0-alpha.15

7.0.0-alpha.16

7.0.0-alpha.17

7.0.0-alpha.18

7.0.0-alpha.19

7.0.0-alpha.2

7.0.0-alpha.20

7.0.0-alpha.21

7.0.0-alpha.22

7.0.0-alpha.23

7.0.0-alpha.24

7.0.0-alpha.25

7.0.0-alpha.26

7.0.0-alpha.27

7.0.0-alpha.28

7.0.0-alpha.29

7.0.0-alpha.3

7.0.0-alpha.30

7.0.0-alpha.31

7.0.0-alpha.4

7.0.0-alpha.5

7.0.0-alpha.6

7.0.0-alpha.7

7.0.0-alpha.8

7.0.0-alpha.9

7.0.0-beta.1

7.1.0

7.1.0-alpha.1

7.1.0-alpha.10

7.1.0-alpha.11

7.1.0-alpha.12

7.1.0-alpha.13

7.1.0-alpha.14

7.1.0-alpha.15

7.1.0-alpha.16

7.1.0-alpha.2

7.1.0-alpha.3

7.1.0-alpha.4

7.1.0-alpha.5

7.1.0-alpha.6

7.1.0-alpha.7

7.1.0-alpha.8

7.1.0-alpha.9

7.1.0-beta.1

7.2.0

7.2.0-beta.1

7.3.0

7.3.0-alpha.1

7.3.0-alpha.2

7.3.0-alpha.3

7.3.0-alpha.4

7.3.0-alpha.5

7.3.0-alpha.6

7.3.0-alpha.7

7.3.0-alpha.8

7.3.0-alpha.9

7.3.0-beta.1

7.3.1-alpha.1

7.4.0

7.4.0-alpha.1

7.4.0-alpha.2

7.4.0-alpha.3

7.4.0-alpha.4

7.4.0-alpha.5

7.4.0-alpha.6

7.4.0-alpha.7

7.4.0-beta.1

8.*

8.0.0

8.0.0-alpha.1

8.0.0-alpha.10

8.0.0-alpha.11

8.0.0-alpha.12

8.0.0-alpha.13

8.0.0-alpha.14

8.0.0-alpha.15

8.0.0-alpha.2

8.0.0-alpha.3

8.0.0-alpha.4

8.0.0-alpha.5

8.0.0-alpha.6

8.0.0-alpha.7

8.0.0-alpha.8

8.0.0-alpha.9

8.0.1

8.0.1-alpha.1

8.0.1-alpha.2

8.0.2

8.0.2-alpha.1

8.1.0

8.1.0-alpha.1

8.1.0-alpha.2

8.1.0-alpha.3

8.1.0-alpha.4

8.1.1-alpha.1

8.2.0

8.2.0-alpha.1

8.2.1

8.2.1-alpha.1

8.2.1-alpha.2

8.2.2

8.2.2-alpha.1

8.2.3

8.2.3-alpha.1

8.2.4

8.2.4-alpha.1

8.2.5

8.2.5-alpha.1

8.3.0

8.3.0-alpha.1

8.3.0-alpha.10

8.3.0-alpha.11

8.3.0-alpha.12

8.3.0-alpha.13

8.3.0-alpha.14

8.3.0-alpha.2

8.3.0-alpha.3

8.3.0-alpha.4

8.3.0-alpha.5

8.3.0-alpha.6

8.3.0-alpha.7

8.3.0-alpha.8

8.3.0-alpha.9

8.3.1-alpha.1

8.4.0

8.4.0-alpha.1

8.4.0-alpha.2

8.5.0

8.5.0-alpha.1

8.5.0-alpha.10

8.5.0-alpha.11

8.5.0-alpha.12

8.5.0-alpha.13

8.5.0-alpha.14

8.5.0-alpha.15

8.5.0-alpha.16

8.5.0-alpha.17

8.5.0-alpha.18

8.5.0-alpha.2

8.5.0-alpha.3

8.5.0-alpha.4

8.5.0-alpha.5

8.5.0-alpha.6

8.5.0-alpha.7

8.5.0-alpha.8

8.5.0-alpha.9

8.6.0

8.6.0-alpha.1

8.6.0-alpha.2

8.6.1

9.*

9.0.0

9.1.0

9.1.0-alpha.1

9.1.0-alpha.2

9.1.0-alpha.3

9.1.0-alpha.4

Database specific

source

"https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-68150.json"