В популярном фреймворке Apache bRPC обнаружена критическая уязвимость с оценкой CVSS 9.8, позволяющая выполнять произвольные команды
NewsMaker180+ публично доступных серверов под угрозой.
Исследователь из CyberArk Labs обнаружил критическую уязвимость в популярном фреймворке Apache bRPC, которая позволяет выполнять произвольные команды на удаленных серверах. Проблема получила идентификатор CVE-2025-60021 и максимальную оценку серьезности 9.8 по шкале CVSS.
Apache bRPC — это высокопроизводительная библиотека с открытым исходным кодом на C++, которая помогает разработчикам создавать backend-сервисы, взаимодействующие через RPC (удаленный вызов процедур). Фреймворк широко используется для построения микросервисных архитектур, где множество небольших сервисов постоянно обмениваются данными друг с другом. Для отладки и диагностики проблем в продакшене Apache bRPC включает встроенные HTTP-адреса вроде /pprof/*, которые возвращают различную диагностическую информацию — профили процессора, снимки памяти и другую статистику выполнения.
Уязвимость была обнаружена в адресе профилировщика кучи /pprof/heap с помощью Vulnhalla — инструмента на основе искусственного интеллекта, разработанного CyberArk Labs для анализа результатов статического анализатора CodeQL. Проблема затрагивала все версии Apache bRPC до 1.15.0.
Суть уязвимости заключалась в том, что сервис профилирования кучи не проверял пользовательский параметр extra_options перед его включением в командную строку утилиты jeprof. До исправления этот параметр просто добавлялся к команде в формате --<пользовательский_ввод>. Поскольку эта команда затем выполнялась для генерации результатов профилирования, специальные символы оболочки в контролируемом атакующим вводе могли изменить исполняемую команду, что приводило к инъекции команд.
Исследователь из CyberArk Labs обнаружил критическую уязвимость в популярном фреймворке Apache bRPC, которая позволяет выполнять произвольные команды на удаленных серверах. Проблема получила идентификатор CVE-2025-60021 и максимальную оценку серьезности 9.8 по шкале CVSS.
Apache bRPC — это высокопроизводительная библиотека с открытым исходным кодом на C++, которая помогает разработчикам создавать backend-сервисы, взаимодействующие через RPC (удаленный вызов процедур). Фреймворк широко используется для построения микросервисных архитектур, где множество небольших сервисов постоянно обмениваются данными друг с другом. Для отладки и диагностики проблем в продакшене Apache bRPC включает встроенные HTTP-адреса вроде /pprof/*, которые возвращают различную диагностическую информацию — профили процессора, снимки памяти и другую статистику выполнения.
Уязвимость была обнаружена в адресе профилировщика кучи /pprof/heap с помощью Vulnhalla — инструмента на основе искусственного интеллекта, разработанного CyberArk Labs для анализа результатов статического анализатора CodeQL. Проблема затрагивала все версии Apache bRPC до 1.15.0.
Суть уязвимости заключалась в том, что сервис профилирования кучи не проверял пользовательский параметр extra_options перед его включением в командную строку утилиты jeprof. До исправления этот параметр просто добавлялся к команде в формате --<пользовательский_ввод>. Поскольку эта команда затем выполнялась для генерации результатов профилирования, специальные символы оболочки в контролируемом атакующим вводе могли изменить исполняемую команду, что приводило к инъекции команд.