出典: Security NEXT – https://www.security-next.com/179807
「Apache bRPC」に深刻なRCE脆弱性 – アップデートやパッチ適用を
「Apache bRPC」に深刻なRCE脆弱性 – アップデートやパッチ適用を
RPCフレームワークとして分散システムなどで利用されている「Apache bRPC」に、リモートより任意のコマンドを実行されるおそれがある脆弱性が明らかとなった。
開発チームが現地時間2026年1月16日にメーリングリストで、ヒーププロファイラ機能を利用し、jemallocを用いてメモリプロファイリングを行っている場合にリモートから任意のコマンドを実行されるおそれがある脆弱性「CVE-2025-60021」について明らかにしたもの。重要度を「重要(Important)」とレーティングしている。
組み込みサービスとして提供されているヒーププロファイラ機能のビルトインサービスにおいて、パラメータの検証が適切に行われず、指定された値がそのままコマンドライン引数として実行されるおそれがある。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」における同脆弱性のベーススコアを「9.8」、重要度を「クリティカル(Critical)」と評価した。
開発チーム
