Уязвимость удаленного внедрения команд во встроенной службе профилировщика кучи в Apache bRPC ((все версии < 1.15.0)) на всех платформах позволяет злоумышленнику внедрить удаленную команду. Основная причина: встроенная служба профилировщика кучи bRPC (/pprof/heap) не проверяет предоставленный пользователем параметр extra_options и выполняет его как аргумент командной строки. Злоумышленники могут выполнять удаленные команды, используя параметр extra_options. Затронутые сценарии: используйте встроенную службу профилирования кучи bRPC для выполнения профилирования памяти jemalloc. Как исправить: мы предоставляем два метода, вы можете выбрать один из них: 1. Обновите bRPC до версии 1.15.0. 2. Примените этот патч ( https://github.com/apache/brpc/pull/3101 ) вручную.
Показать оригинальное описание (английский)
Remote command injection vulnerability in heap profiler builtin service in Apache bRPC ((all versions < 1.15.0)) on all platforms allows attacker to inject remote command. Root Cause: The bRPC heap profiler built-in service (/pprof/heap) does not validate the user-provided extra_options parameter and executes it as a command-line argument. Attackers can execute remote commands using the extra_options parameter.. Affected scenarios: Use the built-in bRPC heap profiler service to perform jemalloc memory profiling. How to Fix: we provide two methods, you can choose one of them: 1. Upgrade bRPC to version 1.15.0. 2. Apply this patch ( https://github.com/apache/brpc/pull/3101 ) manually.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H