CVE-2025-59789

Nome do Software Vulnerável e Versões Afetadas Versões do Apache bRPC anteriores a 1.15.0

Descrição Existe uma falha no componente json2pb do Apache bRPC que pode levar à queda do servidor. Isso ocorre ao processar dados JSON profundamente recursivos recebidos de um atacante remoto. A causa raiz é o uso de um método de análise recursiva dentro do analisador rapidjson, o que pode resultar em um estouro de pilha ao lidar com estruturas JSON complexas. A falha afeta sistemas que utilizam servidores bRPC atendendo solicitações http+json de redes não confiáveis, ou aqueles que utilizam diretamente JsonToProtoMessage para converter JSON de fontes não confiáveis. A correção introduz um limite de profundidade de recursão de 100 por padrão, impactando as funções ProtoMessageToJson, ProtoMessageToProtoJson, JsonToProtoMessage e ProtoJsonToProtoMessage. Solicitações que excederem este limite falharão após a aplicação da correção, mas o limite pode ser ajustado usando a gflag json2pb max recursion depth.

Recomendações Atualize o bRPC para a versão 1.15.0 para resolver esta falha. Alternativamente, aplique o patch disponível em https://github.com/apache/brpc/pull/3099.