CVE-2025-60021: Kritische RCE-Lücke in Apache bRPC Heap-Profiler

Zusammenfassung

In Apache bRPC (Versionen < 1.15.0) auf allen Plattformen existiert eine Schwachstelle, die es Angreifern ermöglicht, Fernsteuerungsbefehle einzuschleusen. Der Heap-Profiler-Dienst (/pprof/heap) validiert den "extra_options"-Parameter nicht ordnungsgemäß und führt ihn als Befehlszeile aus. Betroffen sind Nutzer, die den integrierten bRPC-Heap-Profiler für Jemalloc-Speicheranalysen verwenden. Als Gegenmaßnahmen bieten sich ein Upgrade auf Version 1.15.0 oder das manuelle Aufspielen eines Patches an.

Remote command injection vulnerability in heap profiler builtin service in Apache bRPC ((all versions < 1.15.0)) on all platforms allows attacker to inject remote command. Root Cause: The bRPC heap profiler built-in service (/pprof/heap) does not validate the user-provided extra_options parameter and executes it as a command-line argument. Attackers can execute remote commands using the extra_options parameter.. Affected scenarios: Use the built-in bRPC heap profiler service to perform jemalloc memory profiling. How to Fix: we provide two methods, you can choose one of them: 1. Upgrade bRPC to version 1.15.0. 2. Apply this patch ( https://github.com/apache/brpc/pull/3101 ) manually.