Kritische RCE-Lücke in Apache bRPC Heap Profiler Service (CVE-2025-60021)

Zusammenfassung

Eine Sicherheitslücke im Apache bRPC Heap Profiler Service ermöglicht Angreifern die Ausführung von Befehlen auf dem Server. Dies ist möglich, da Nutzereingaben unzureichend überprüft werden. Insbesondere die "extra_options"-Funktion ist betroffen, über die Schadsoftware eingeschleust werden kann. Zum Glück gibt es bereits einen Patch in Version 1.15.0, der dieses Problem behebt. Sysadmins sollten also schnell handeln, bevor die ersten Script-Kiddies zuschlagen.

Apache - Apache Brpc - CVE-2025-60021. A vulnerability in the Apache bRPC heap profiler service allows remote command injection due to insufficient validation of user-supplied parameters. Specifically, the built-in service executes commands without proper sanitization when the 'extra_options' parameter is used. This flaw enables attackers to execute arbitrary commands on the server, particularly targeting the jemalloc memory profiling feature. To mitigate this risk, users are advised to upgrade to bRPC version 1.15.0 or apply the provided patch.