CVE-2023-22458
Integer overflow in multiple Redis commands can lead to denial-of-service
Em resumo
O Redis pode falhar quando um usuário autenticado envia comandos `HRANDFIELD` ou `ZRANDMEMBER` com argumentos especialmente construídos, causando a parada do banco de dados. Afeta as versões 6.2 e 7.0, então administradores devem atualizar para versões corrigidas.
Detalhe técnico
Um overflow de inteiro nos comandos `HRANDFIELD` e `ZRANDMEMBER` permite que usuários autenticados disparem uma falha de asserção que causa o crash do processo Redis. A vulnerabilidade requer autenticação válida e afeta Redis 6.2.0–6.2.8 e 7.0.0–7.0.7, resultando em negação de serviço via exceção não tratada.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Redis is an in-memory database that persists on disk. Authenticated users can issue a `HRANDFIELD` or `ZRANDMEMBER` command with specially crafted arguments to trigger a denial-of-service by crashing Redis with an assertion failure. This problem affects Redis versions 6.2 or newer up to but not including 6.2.9 as well as versions 7.0 up to but not including 7.0.8. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
redis · redisQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →