1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Apache bRPCに深刻なJSONパース 脆弱性(CVE-2025-59789)

Apache bRPCに深刻なJSONパース 脆弱性(CVE-2025-59789)

セキュリティニュース

投稿日時: 更新日時:

Apache bRPCに深刻なJSONパース 脆弱性(CVE-2025-59789)

Apacheの高性能RPCフレームワーク「bRPC」に、リモートからサーバをクラッシュさせられる深刻な脆弱性(CVE-2025-59789)が見つかりました。これを受けて、Apacheは2025年10月27日付で修正版となる bRPC 1.15.0 をリリースしており、公式サイトからソースコードがダウンロード可能になっています。

脆弱性の対象バージョン

Apache bRPC 1.15.0 未満の全バージョン

脆弱性の対策バージョン

Apache bRPC 1.15.0以上のバージョン

脆弱性の概要

リモートの攻撃者が、細工した「極端に深い入れ子構造のJSON」を送りつけることで、スタックオーバーフローを引き起こし、サーバプロセスをクラッシュ(DoS)させることができます。

技術的には、bRPCの json2pb はネットワークから受信したJSONを rapidjson でパースしていますが、rapidjsonのデフォルト実装は再帰的なパース方式を取っています。

この状態で、攻撃者が非常に深いネスト(再帰構造)を持つJSONを送信すると、関数呼び出しが際限なく深くなり、

最終的にスタック領域を使い切って スタックオーバーフロー → プロセス異常終了 に至ります。

関連記事

Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650)Apache Tomcatに深刻な脆弱性、DoS攻撃やセキュリティルール回避のリスク- 迅速なアップデートを推奨(CVE-2025-31650) Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813)Apache Tomcatでリモートコード実行や情報 漏洩のリスクがある脆弱性(CVE-2025-24813) Apache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートをApache Tomcatの脆弱性 CVE-2025-24813の悪用を確認、対象者は早急にアップデートを Apache Parquet Java0の脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開Apache Parquet Javaの脆弱性(CVE-2025-30065)の検証・検出ツールをF5 Labsが公開 Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正 Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891)Apache Tomcat と Camel が狙わる-複数の危険な脆弱性(CVE‑2025‑24813, CVE‑2025‑27636, CVE‑2025‑29891) Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577)Apache Igniteでリモートコードが実行できる脆弱性(CVE-2024-52577) CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須CISAがApache Tomcatの脆弱性 CVE-2025-24813をKEVに登録、対象者はアップデートが必須 Apache TomcatでCGIセキュリティ制約バイパスの脆弱性(CVE-2025-46701)Apache TomcatでCGIセキュリティ制約バイパスの脆弱性(CVE-2025-46701)