Ajouter un commentaire

Apache gRPC : vulnérabilité critique découverte

Par:
francoistonic

jeu, 29/01/2026 - 15:12

Les experts de CyberArk dévoilent les détails d'une grave vulnérabilité dans Apache gRPC : la CVE-2025-60021. Elle permet de faire une injection de commandes dans le profileur heap d'Apache gRPC. gRPC est une librairie open source en C++ pour intégrer des services RPC. La faille permet d'exposer des données, des éléments de la mémoire ou encore des détails sur le runtime sur une URL HTTP. Le problème vient de la mauvaise validation du heap profiler dans le service /pprof/heap. 

A partir de cette faiblesse, un hacker peut exécuter des attaques non autorisées avec les droits sur les process bRPC... Cette CVE affiche un niveau critique de 9.8. gRPC 1.15.0 restreint les paramètres extra_options pour réduire les entrées non vérifiées. 

Chronologie de la faille : 

  • Aug. 5, 2025: Reported to the Apache bRPC maintainers
  • Sept. 26, 2025: Fix merged (PR #3101)
  • Oct. 27, 2025: Apache bRPC 1.15.0 released (includes the fix)
  • Jan. 16, 2026: CVE-2025-60021 published

Source : https://www.cyberark.com/resources/threat-research-blog/cve-2025-60021-cvss-9-8-command-injection-in-apache-brpc-heap-profiler

Plus d'information sur les formats de texte

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-) 
  QQQ    N   N      J  L     V     V 
 Q   Q   NN  N      J  L     V     V 
 Q   Q   N N N      J  L      V   V  
 Q  QQ   N  NN  J   J  L       V V   
  QQQQ   N   N   JJJ   LLLL     V    
      Q