CVE-2025-60021

Apache bRPC e Versões Afetadas Versões do Apache bRPC anteriores à 1.15.0

Descrição O Apache bRPC contém uma falha de injeção de comando remoto no serviço integrado de profilador de heap. O endpoint /pprof/heap não valida corretamente o parâmetro extra options, permitindo que atacantes executem comandos arbitrários do sistema. Esta vulnerabilidade permite a execução remota de código não autenticada, potencialmente levando ao comprometimento total do sistema, roubo de dados e interrupção do serviço. O problema origina-se da concatenação direta do parâmetro extra options não sanitizado em um comando de shell executado com privilégios do serviço bRPC. Aproximadamente 4.000 instâncias estão expostas, de acordo com o ZoomEye. Atacantes podem aproveitar essa falha para obter acesso ao shell, exfiltrar dados sensíveis, implantar malware e realizar movimento lateral dentro das redes. O parâmetro vulnerável, extra options, é utilizado em requisições ao endpoint da API /pprof/heap.

Recomendações Atualize para a versão 1.15.0 ou posterior do Apache bRPC. Como solução temporária, desative o profilador de heap em produção. Restrinja o acesso ao endpoint /pprof/heap por meio de controles de rede e autenticação. Revise os logs de acesso para requisições /pprof/heap com valores suspeitos de extra options. Inspecione os processos gerados e verifique a integridade do sistema.