CVE-2023-22458
Integer overflow in multiple Redis commands can lead to denial-of-service
En resumen
Redis puede fallar cuando un usuario autenticado envía comandos `HRANDFIELD` o `ZRANDMEMBER` con argumentos especialmente construidos, causando la parada de la base de datos. Afecta las versiones 6.2 y 7.0, por lo que los administradores deben actualizar a versiones parcheadas.
Detalle técnico
Un desbordamiento de entero en los comandos `HRANDFIELD` y `ZRANDMEMBER` permite que usuarios autenticados disparen una falla de aserción que bloquea el proceso de Redis. La vulnerabilidad requiere autenticación válida y afecta a Redis 6.2.0–6.2.8 y 7.0.0–7.0.7, resultando en negación de servicio mediante excepción no controlada.
Resumen generado y traducido por IA a partir de la descripción oficial.
Redis is an in-memory database that persists on disk. Authenticated users can issue a `HRANDFIELD` or `ZRANDMEMBER` command with specially crafted arguments to trigger a denial-of-service by crashing Redis with an assertion failure. This problem affects Redis versions 6.2 or newer up to but not including 6.2.9 as well as versions 7.0 up to but not including 7.0.8. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Productos afectados
redis · redis¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →