CVE-2021-32687 in Redisالمعلومات

الملخص

بحسب VulDB • 10/05/2026

Redis هو قاعدة بيانات مفتوحة المصدر تعمل بالذاكرة العشوائية (in-memory) وتحتفظ بالبيانات على القرص. يمكن استغلال خطأ تجاوز عدد صحيح (integer overflow) يؤثر على جميع إصدارات Redis لتلف الذاكرة العشوائية (heap) واستخدامه محتملاً لتسريب محتويات عشوائية من الذاكرة العشوائية أو لتنفيذ الأكواد البرمجية عن بُعد (RCE). تتضمن الثغرة تغيير معلمة التكوين الافتراضية set-max-intset-entries إلى قيمة كبيرة جداً، وإنشاء أوامر مُصممة خصيصاً للتلاعب بالمجموعات (sets). تم إصلاح المشكلة في إصدارات Redis 6.2.6 و6.0.16 و5.0.14. كحل بديل إضافي للتخفيف من المشكلة دون تصحيح ملف تنفيذ redis-server، يمكن منع المستخدمين من تعديل معلمة التكوين set-max-intset-entries. ويمكن تحقيق ذلك باستخدام قائمة التحكم بالوصول (ACL) لتقييد المستخدمين غير المميزين من استخدام أمر CONFIG SET.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

12/05/2021

إفشاء

04/10/2021

الاعتدال

تمت الموافقة

إدخال

VDB-183781

EPSS

0.03839

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!