Vulnerabilidad en Apache bRPC (CVE-2025-60021)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)

Fecha de publicación:

16/01/2026

Última modificación:

21/01/2026

Descripción

Vulnerabilidad de inyección de comandos remota en el servicio integrado de perfilador de heap en Apache bRPC ((todas las versiones &lt; 1.15.0)) en todas las plataformas permite al atacante inyectar comandos remotos. Causa Raíz: El servicio integrado de perfilador de heap de bRPC (/pprof/heap) no valida el parámetro extra_options proporcionado por el usuario y lo ejecuta como un argumento de línea de comandos. Los atacantes pueden ejecutar comandos remotos utilizando el parámetro extra_options.. Escenarios afectados: Uso del servicio integrado de perfilador de heap de bRPC para realizar el perfilado de memoria de jemalloc. Cómo Solucionarlo: proporcionamos dos métodos, puede elegir uno de ellos: 1. Actualice bRPC a la versión 1.15.0. 2. Aplique este parche ( https://github.com/apache/brpc/pull/3101 ) manualmente.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto