L’appel de procédure à distance (RPC, Remote Procedure Call) est un protocole qu’un programme peut utiliser pour solliciter un service auprès d’un programme situé sur un autre ordinateur d’un réseau dont il n’a pas besoin de connaître les détails. On l’appelle parfois appel de fonction ou de sous-routine. On est sur un modèle client/serveur.
La librairie rpc.py en version 0.6.0a une faille de sécurité CVE critique permettant un RCE.
un poc est disponible a cette adresse : cliquez ici pour le lire
Il existe un patch permettant de bloquer cette faille CVE : lien vers le correctif