Apache bRPC <1.5.0 存在任意代码执行漏洞
漏洞描述 Apache bRPC 是C++开发、由百度RPC发展而来的工业级 RPC 框架。 该项目受影响版本存在任意代码执行漏洞,由于server.cpp对于用户输入的pid_file使用wordexp展开。 具备bRPC控制权限的攻击者可在bRPC启动时通过控制pid_file参数注入恶意内容(如 $(touch /tmp/hacked)),进而导致以bRPC进程权限执行任意代码。 漏洞名称 Apache bRPC <1.5.0 存在任意代码执行漏洞 漏洞类型 输入验证不恰当 发现时间 2023-05-08 漏洞影响广度 广 MPS编号 MPS-5axh-yjvd CVE编号 CVE-2023-31039 CNVD编号 - 影响范围 bRPC@[0.9.0, 1.5.0) 修复方案 将组件 bRPC 升级至 1.5.0 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-5axh-yjvd https://nvd.nist.gov/vuln/detail/CVE-2023-31039 PR 免费情报订阅&代码安全检测 OSC...
