Kritische Sicherheitslücke in Apache bRPC

Die Apache Software Foundation veröffentlichte am 16. Januar 2026 eine Sicherheitsmeldung zur kritischen Sicherheitslücke CVE-2025-60021 (EUVD-2026-2933) in Apache bRPC. CVE-2025-60021 mit einem CVSS-Score von 9.8/10 ermöglicht Angreifenden Remote Code Execution (RCE) und hierdurch die Übernahme von Systemen.

Die Schwachstelle betrifft die Apache-bRPC-Versionen von 1.11.0 bis 1.14.x. Mit der Version 1.15.0 stellt die Apache Software Foundation ein Update bereit, das die Lücke schließt. Alternativ können Nutzende einen offiziellen Patch in den Programmcode einpflegen, um die fehlerhafte Verarbeitung zu korrigieren.

Apache bRPC ist ein Remote-Procedure-Call-Framework, mit dem Nutzende die Kommunikation zwischen verschiedener Software über Netzwerke hinweg steuern und beschleunigen können.

• Installieren Sie umgehend die Version 1.15.0 von Apache bRPC.
• Wenn Sie Ihre Apache-bRPC-Instanz nicht aktualisieren können, pflegen Sie den offiziellen Patch in den Programmcode ein. Den Link zur GitHub-Seite mit dem Patch finden Sie unten.