Ernstig lekt in Apache bRPC maakt overnemen van servers mogelijk
Onderzoekers van CyberArk Labs waarschuwen voor een ernstige kwetsbaarheid (CVE-2025-60021) in Apache bRPC, een open-source softwarebibliotheek die veel wordt gebruikt voor backend- en microservices. De kwetsbaarheid maakt het mogelijk voor aanvallers om op afstand commando’s uit te voeren op een server, met als gevolg dat systemen kunnen worden overgenomen. Dit risico geldt zowel voor publieke als interne netwerken.
De kwetsbaarheid bevindt zich in een ingebouwde diagnosefunctie, de zogenaamde heap-profiler, die bedoeld is om het geheugenverbruik van een dienst te analyseren. Deze functie voert intern een systeemcommando uit, maar controleert de ingevoerde opties onvoldoende. Hierdoor kan ongewenste invoer als onderdeel van het commando worden uitgevoerd. Het probleem ontstaat doordat een debugfunctie gebruikersinvoer rechtstreeks gebruikt, waardoor misbruik mogelijk is zodra deze functie bereikbaar is. Het probleem is ontdekt met behulp van onder meer Vulnhalla, een interne AI-tool van CyberArk die helpt bij het sorteren van CodeQL-resultaten met behulp van een Large Language Model.
CyberArk Labs heeft de bevindingen gedeeld met de Apache Software Foundation, die een patch heeft uitgebracht om de kwetsbaarheid te verhelpen. Gebruikers wordt aangeraden om hun systemen zo snel mogelijk bij te werken.
Meer over Security
Over Wouter Hoeffnagel
