文章总结: ApachebRPC1.15.0前版本存在远程命令注入漏洞CVE-2025-60021,攻击者无需认证即可利用堆分析器端点参数缺陷执行任意系统命令,威胁系统安全。建议立即升级至1.15.0以上版本或应用PR#3101补丁,并禁用或限制访问相关端点,以防范未授权命令执行风险。 综合评分: 91 文章分类: 漏洞预警,漏洞分析,WEB安全
Apache bRPC存在关键远程命令注入漏洞,影响1.15.0前所有平台版本
网安百色
2026年1月20日 19:22 广西
一个关键的远程命令注入漏洞(CVE-2025-60021)已在Apache bRPC的内置堆分析器服务中被发现,影响所有平台上的1.15.0之前版本。该漏洞允许未经身份验证的攻击者通过操控分析器的参数验证机制来执行任意系统命令。
| 项目 | 详情 | | — | — | | CVE编号 | CVE-2025-60021 | | 严重程度 | 重要 (Important) | | CVSS评分 | 高危 (7.0-8.9) | | 影响版本 | Apache bRPC 1.11.0 – 1.14.x | | 漏洞类型 | 远程命令注入 (Remote Command Injection) | | 攻击向量 | 网络 (Network) | | 认证要求 | 无需认证 | | 影响范围 | 所有启用jemalloc内存分析的部署 |
漏洞成因
该漏洞源于bRPC内置堆分析器服务端点(/pprof/heap)对extra_options参数的处理缺陷:
- 参数验证缺失:服务端未对用户提供的
extra_options参数进行充分验证和过滤 - 危险调用:将用户输入直接作为命令行参数传递给系统命令执行函数
- 信任机制缺陷:jemalloc内存分析组件将用户提供的参数视为可信的命令行参数,未进行转义或验证
攻击流程
- 攻击者向
/pprof/heap端点发送特制请求,包含恶意构造的extra_options参数 - bRPC服务将参数直接拼接至系统命令中执行
- 恶意命令以bRPC进程的权限执行,可能导致:
- 系统完全沦陷
- 敏感数据窃取
- 服务中断
- 持久化后门植入
影响评估
该漏洞对以下场景构成严重威胁:
- 高危场景:将
/pprof/heap端点暴露在不受信任网络中的系统 - 中危场景:内部网络中使用bRPC堆分析功能的服务
- 低危场景:禁用堆分析功能或限制访问的部署
官方修复方案
| 方案 | 详情 | 适用场景 | | — | — | — | | 首选方案 升级至1.15.0+ | 官方修复版本,彻底解决参数验证问题 | 所有受影响环境 | | 临时方案 应用PR#3101补丁 | 手动应用GitHub Pull Request中的修复 | 无法立即升级的环境 |
修复验证方法
- 版本检查:确认bRPC版本≥1.15.0
- 功能测试:尝试访问
/pprof/heap端点并传递特殊字符参数,确认服务不再执行恶意命令 - 日志监控:检查系统日志中是否存在可疑的命令执行记录
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安百色 《Apache bRPC存在关键远程命令注入漏洞,影响1.15.0前所有平台版本》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论