CVE-2025-60021CVE-2025-60021是Apache bRPC中一个严重的远程命令注入漏洞,CVSS评分高达9.8分(严重级别)。该漏洞存在于bRPC的堆内存分析器内置服务(/pprof/heap)中,影响所有平台上的Apache bRPC版本低于1.15.0的所有版本。攻击者无需任何认证即可利用此漏洞,通过构造恶意的extra_options参数值注入并执行任意远程命令。由于bRPC是一个被广泛使用的开源高性能RPC框架,常用于构建高性能网络服务和分布式系统,此漏洞对使用该框架的企业和组织构成了极高的安全风险。漏洞于2026年1月16日被披露并发布修复版本。
Apache bRPC的堆内存分析器内置服务(/pprof/heap)存在严重的输入验证缺陷。该服务在处理用户请求时,会将用户提供的extra_options参数直接作为命令行参数传递给底层系统调用,而未对其进行任何安全验证或过滤。攻击者可以通过构造包含恶意命令的extra_options参数,利用系统命令注入技术执行任意系统命令。例如,攻击者可发送带有特殊构造的extra_options值的HTTP请求到/pprof/heap端点,该值中包含的命令分隔符和恶意指令将被直接执行。攻击过程无需任何认证,且可通过网络远程发起,成功利用后可完全控制目标服务器。该漏洞影响使用bRPC内置heap profiler服务进行jemalloc内存分析的所有部署场景。