Apache bRPC远程拒绝攻击CVE-2025-54472

Apache pPC是一款应用于构建可靠和高性能服务的工业级RPC框架，是一款常用于搜索、存储、机器学习、广告、推荐等高性能系统。

一、基本情况

Apache pPC 是基于 C++ 语言的工业级 RPC（远程过程调用）框架，广泛应用于搜索、存储、机器学习、广告和推荐系统高性能场景。

栋科技漏洞库关注到Apache pPC 漏洞受影响版本中存在可导致远程拒绝服务攻击的漏洞，追踪为CVE-2025-54472，CVSS 3.1评分7.5。

二、漏洞分析

CVE-2025-54472漏洞是Apache pPC在1.14.1 之前的所有版本、包括已部分修复的 1.14.0 版本中存在的漏洞，该漏洞现已被官方修复。

该漏洞可能会导致所有平台上Apache pPC（所有版本均<1.14.1）中redis协议解析器中的无限内存分配，允许攻击者通过网络崩溃服务。

该漏洞的根源是在于 pPC 的 Redis 解析器的代码之中，根据从网络读取的整数分配相应大小的数组或字符串的内存的方式出现了问题。

如果从网络读取的整数值过大，那么就可能导致严重的内存分配错误并引发程序崩溃，攻击者利用该功能对pPC服务进行拒绝服务攻击。

攻击者可以通过向pPC服务发送特制 Redis 协议数据包，触发无限内存分配，导致应用程序耗尽内存，从而造成拒绝服务（DoS）状况。

三、影响范围

Apache pPC <= 1.14.0

四、修复建议

Apache pPC >= 1.14.1

五、参考链接

管理员已设置登录后刷新可查看