Tyler Zars

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache bRPC anteriores a 1.15.0 **Descrição** Existe uma falha no componente json2pb do Apache bRPC que pode levar à queda do servidor. Isso ocorre ao processar dados JSON profundamente recursivos recebidos de um atacante remoto. A causa raiz é o uso de um método de análise recursiva dentro do analisador rapidjson, o que pode resultar em um estouro de pilha ao lidar com estruturas JSON complexas. A falha afeta sistemas que utilizam servidores bRPC atendendo solicitações http+json de redes não confiáveis, ou aqueles que utilizam diretamente `JsonToProtoMessage` para converter JSON de fontes não confiáveis. A correção introduz um limite de profundidade de recursão de 100 por padrão, impactando as funções `ProtoMessageToJson`, `ProtoMessageToProtoJson`, `JsonToProtoMessage` e `ProtoJsonToProtoMessage`. Solicitações que excederem este limite falharão após a aplicação da correção, mas o limite pode ser ajustado usando a gflag `json2pb max recursion depth`. **Recomendações** Atualize o bRPC para a versão 1.15.0 para resolver esta falha. Alternativamente, aplique o patch disponível em https://github.com/apache/brpc/pull/3099.

Nome do Software Vulnerável e Versões Afetadas: Versões do Apache bRPC anteriores à 1.14.1 Descrição: Uma falha no parser do Redis no Apache bRPC permite que atacantes remotos não autenticados causem a queda dos serviços ao acionar alocação de memória ilimitada. Este problema afeta o serviço via comunicação de rede. Aproximadamente 103 dispositivos potencialmente afetados foram identificados. Recomendações: Atualize para a versão 1.14.1.