Apache bRPC ist ein Open-Source-Framework für Remote-Procedure-Calls und findet vor allem in Microservice-Architekturen und internen Backend-Systemen Verwendung. Die von CyberArk dokumentierte Schwachstelle CVE-2025-60021 liegt im Heap-Profiler, einem Diagnosemechanismus, der Speicheranalysen ermöglicht. Ein über HTTP erreichbarer Endpunkt verarbeitet einen Parameter ohne ausreichende Validierung und bindet ihn direkt in ein Shell-Kommando ein. Dadurch können Angreifer eigene Befehle einschleusen und mit den Rechten des laufenden Dienstes ausführen, was im schlimmsten Fall zur vollständigen Übernahme des Systems führt.

Für IT-Administratoren ist die Lücke besonders relevant, da bRPC häufig indirekt über Abhängigkeiten in Anwendungen eingebunden ist und der betroffene Profiler-Endpunkt nicht immer als sicherheitskritisch erkannt wird. Apache hat das Problem mit Version 1.15.0 behoben. Unternehmen sollten prüfen, ob bRPC in ihrer Infrastruktur zum Einsatz kommt, und betroffene Systeme zeitnah aktualisieren. Wo ein Update kurzfristig nicht möglich ist, gilt es, den Heap-Profiler zu deaktivieren oder den Zugriff auf die entsprechenden Endpunkte konsequent zu unterbinden.