CVE-2021-32687 in Redis
الملخص
بحسب VulDB • 10/05/2026
Redis هو قاعدة بيانات مفتوحة المصدر تعمل بالذاكرة العشوائية (in-memory) وتحتفظ بالبيانات على القرص. يمكن استغلال خطأ تجاوز عدد صحيح (integer overflow) يؤثر على جميع إصدارات Redis لتلف الذاكرة العشوائية (heap) واستخدامه محتملاً لتسريب محتويات عشوائية من الذاكرة العشوائية أو لتنفيذ الأكواد البرمجية عن بُعد (RCE). تتضمن الثغرة تغيير معلمة التكوين الافتراضية set-max-intset-entries إلى قيمة كبيرة جداً، وإنشاء أوامر مُصممة خصيصاً للتلاعب بالمجموعات (sets). تم إصلاح المشكلة في إصدارات Redis 6.2.6 و6.0.16 و5.0.14. كحل بديل إضافي للتخفيف من المشكلة دون تصحيح ملف تنفيذ redis-server، يمكن منع المستخدمين من تعديل معلمة التكوين set-max-intset-entries. ويمكن تحقيق ذلك باستخدام قائمة التحكم بالوصول (ACL) لتقييد المستخدمين غير المميزين من استخدام أمر CONFIG SET.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.