Apache bRPC Vulnerability Enables Remote Command Injection
2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。
この設計上の欠陥により、攻撃者は悪意のコマンドを注入し、 bRPC プロセスの権限で実行できる。根本的な原因は、jemalloc メモリ・プロファイリング・コンポーネントにおける入力検証の不十分さにある。このコンポーネントは、ユーザーが指定または提供したパラメータを、エスケープや検証を行うことなく、信頼されたコマンドライン引数として扱っている。
| Field | Details |
|---|---|
| CVE ID | CVE-2025-60021 |
| Severity | Important |
| Affected Versions | Apache bRPC < 1.15.0 |
| Vulnerability Type | Remote Command Injection |
| CVSS Category | High Impact |
この脆弱性は、jemalloc メモリ・プロファイリングのために、bRPC のビルトイン・ヒープ・プロファイラを明示的に使用するデプロイメントに影響を及ぼす。信頼できないネットワークへ向けて、”/pprof/heap” エンドポイントを公開している場合には、システム全体が侵害される深刻なリスクにさらされる。
この脆弱性の悪用により、攻撃者は認証を必要とせずにリモート・コード実行が可能となる。攻撃が成功した場合には、ネットワーク・インフラ内でのラテラル・ムーブメント/データの窃取/サービス妨害/永続的なバックドア・アクセスの確立につながる恐れがある。
本番環境で脆弱な bRPC バージョンを運用している組織は、最優先で対応する必要がある。前述のとおり、この脆弱性が影響を及ぼすのは Apache bRPC バージョン 1.11.0 〜 1.14.x であり、この脆弱性を修正するセキュリティ・パッチは、バージョン 1.15.0 以降に含まれている。
なお、利用可能な緩和策は以下の通りである。
- オプション 1:Apache bRPC をバージョン 1.15.0 以降にアップグレードする方法がある。このバージョンには、パラメータ検証の問題を解決する公式パッチが含まれている。
- オプション 2:即時のバージョンアップが困難な場合には、公式 Apache bRPC GitHub リポジトリ (PR #3101) からセキュリティ・パッチを手動で適用する方法がある。
ユーザー組織は、パッチ適用済みバージョンへのアップグレードを最優先し、攻撃対象領域を排除する必要がある。手動によるパッチ適用は、完全なバージョンアップまでの暫定措置として位置付ける必要がある。
高性能な通信フレームワーク Apache bRPC に、サーバーを遠隔操作される恐れのある深刻な脆弱性が見つかりました。この問題の原因は、メモリの使用状況を調査するための機能 (ヒープ・プロファイラ) において、外部からの入力データを正しくサニタイズせずに、システム・コマンドとして実行してしまう不備にあります。
具体的には、”/pprof/heap” という調査用の窓口へ向けて、攻撃者が細工した命令を送り込むと、本来のプログラムの動作を外れて、サーバ上で任意のプログラムを実行できてしまいます。この脆弱性は CVE-2025-60021 として報告されており、悪用されると認証なしでシステムを完全に乗っ取られるリスクがあります。ご利用のチームは、ご注意ください。よろしければ、Apache bRPC での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.