一、漏洞简介¶
1.1 漏洞背景¶
gRPC 在公开漏洞库中存在编号为 CVE-2017-7861 的安全问题,本条目按 2026-03-22 权威公开源补录;该漏洞评级为 CRITICAL,CVSS 9.8。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | CVE-2017-7861 |
| 危害等级 | CRITICAL |
| CVSS 评分 | 9.8 |
| 漏洞类型 | CWE-787 |
| 公开时间 | 2017-04-14 |
| 影响组件 | gRPC |
二、影响范围¶
2.1 受影响的版本¶
grpc:grpc:*, <= 1.1.2
2.2 不受影响的版本¶
- NVD / CISA 公开记录未统一列出完整安全版本矩阵,建议以厂商修复公告或最新受支持版本说明为准。
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
- 需运行受影响版本并暴露对应攻击面;若厂商未公开更细前提,应结合官方公告进一步核验。
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
- NVD 公开描述:Google gRPC before 2017-02-22 has an out-of-bounds write related to the gpr_free function in core/lib/support/alloc.c.
- 当前补录条目以权威公开漏洞库为准,未额外引入未经核实的 PoC 细节。
3.2 源码层面的根因分析(结合源码与补丁对比)¶
- 公开漏洞库给出的弱点标识:CWE-787。
- NVD / CISA 通常不会直接提供完整补丁 diff;如需深入到源码根因,建议继续结合厂商修复提交或安全公告比对。
四、漏洞复现(可选)¶
4.1 环境搭建¶
- 权威公开源未提供统一、可直接复用的隔离复现环境,本条目仅补录漏洞情报与版本影响信息。
4.2 PoC 演示与测试过程¶
- 若 CISA KEV 已收录,可视为存在实际利用背景;但 KEV 本身不提供 PoC。
- 若无额外厂商或研究人员披露,建议不要在生产环境复现,优先在隔离测试环境验证修复效果。
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
- 优先升级到厂商已修复版本或当前仍受支持的最新稳定分支。
- 如公开记录只给出受影响区间而未给出明确安全版本,应以官方公告和发行说明为准。
5.2 临时缓解方案(如修改配置、关闭相关模块、增加访问控制等)¶
- 尽量缩小管理面、调试面和高危接口的暴露范围。
- 为敏感组件增加鉴权、来源限制、反向代理访问控制或 WAF 规则。
- 在补丁窗口前,持续监控异常请求、权限提升和配置变更行为。
六、参考信息 / 参考链接¶
- https://nvd.nist.gov/vuln/detail/CVE-2017-7861
- https://www.cve.org/CVERecord?id=CVE-2017-7861
- http://www.securityfocus.com/bid/97694
- https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=655
- https://github.com/grpc/grpc/pull/9833