CVE-2021-32675 in Redisالمعلومات

الملخص

بحسب VulDB • 18/06/2026

Redis هو قاعدة بيانات مفتوحة المصدر تعمل بالذاكرة العشوائية (in-memory) وتحتفظ بالبيانات على القرص. عند تحليل طلب بروتوكول Redis القياسي (RESP) الوارد، يقوم Redis بتخصيص الذاكرة بناءً على القيم التي يحددها المستخدم، والتي تحدد عدد العناصر (في رأس الحزمة متعددة الحشوات multi-bulk header) وحجم كل عنصر (في رأس الحزمة bulk header). يمكن لمهاجم يرسل طلبات مُعدّة بعناية فائقة عبر اتصالات متعددة أن يتسبب في تخصيص الخادم لمبلغ كبير من الذاكرة. ونظراً لأن آلية التحليل نفسها تُستخدم للتعامل مع طلبات المصادقة، يمكن استغلال هذا الثغرة أيضاً من قبل مستخدمين غير مصرح لهم بالمصادقة (unauthenticated). تم إصلاح المشكلة في إصدارات Redis 6.2.6 و6.0.16 و5.0.14. كحل بديل إضافي للتخفيف من هذه المشكلة دون تصحيح ملف تنفيذ redis-server، يمكن حظر الوصول لمنع المستخدمين غير المصرح لهم من الاتصال بـ Redis. يمكن القيام بذلك بطرق مختلفة: باستخدام أدوات التحكم في الوصول الشبكي مثل جدران الحماية (firewalls) أو iptables أو مجموعات الأمان (security groups)، أو تمكين TLS وإجبار المستخدمين على المصادقة باستخدام شهادات جانب العميل (client side certificates).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub, Inc.

حجز

12/05/2021

إفشاء

04/10/2021

الاعتدال

تمت الموافقة

إدخال

VDB-183787

EPSS

0.15780

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!