CVE-2021-32675 in Redis
الملخص
بحسب VulDB • 18/06/2026
Redis هو قاعدة بيانات مفتوحة المصدر تعمل بالذاكرة العشوائية (in-memory) وتحتفظ بالبيانات على القرص. عند تحليل طلب بروتوكول Redis القياسي (RESP) الوارد، يقوم Redis بتخصيص الذاكرة بناءً على القيم التي يحددها المستخدم، والتي تحدد عدد العناصر (في رأس الحزمة متعددة الحشوات multi-bulk header) وحجم كل عنصر (في رأس الحزمة bulk header). يمكن لمهاجم يرسل طلبات مُعدّة بعناية فائقة عبر اتصالات متعددة أن يتسبب في تخصيص الخادم لمبلغ كبير من الذاكرة. ونظراً لأن آلية التحليل نفسها تُستخدم للتعامل مع طلبات المصادقة، يمكن استغلال هذا الثغرة أيضاً من قبل مستخدمين غير مصرح لهم بالمصادقة (unauthenticated). تم إصلاح المشكلة في إصدارات Redis 6.2.6 و6.0.16 و5.0.14. كحل بديل إضافي للتخفيف من هذه المشكلة دون تصحيح ملف تنفيذ redis-server، يمكن حظر الوصول لمنع المستخدمين غير المصرح لهم من الاتصال بـ Redis. يمكن القيام بذلك بطرق مختلفة: باستخدام أدوات التحكم في الوصول الشبكي مثل جدران الحماية (firewalls) أو iptables أو مجموعات الأمان (security groups)، أو تمكين TLS وإجبار المستخدمين على المصادقة باستخدام شهادات جانب العميل (client side certificates).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.