Se han descubierto vulnerabilidades de severidad crítica y alta en Apache bRPC y Apache Airflow. Un actor malicioso podría ejecutar comandos arbitrarios de forma remota o acceder a información sensible como credenciales.
Productos afectados
- Apache bRPC: versiones anteriores a 1.15.0
- Apache Airflow: versiones anteriores a 3.1.6
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-60021: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección remota de comandos en el servicio de perfilado de memoria de Apache bRPC. Un actor malicioso remoto no autenticado podría aprovechar la falta de validación en el parámetro extra_options del endpoint /pprof/heap para ejecutar comandos arbitrarios en el sistema con los privilegios del proceso.
CVE-2025-68438: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de divulgación de información en Apache Airflow. Cuando los campos de plantilla renderizados exceden la longitud máxima configurada, los valores sensibles podrían exponerse en texto plano en la interfaz de usuario debido a un enmascaramiento incorrecto antes del truncamiento.
CVE-2025-68675: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de divulgación de información en Apache Airflow. Las credenciales de autenticación embebidas en las URLs de configuración de proxies dentro de las conexiones no se enmascaraban automáticamente en los registros, lo que podría exponer información sensible a actores con acceso a dichos registros.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias