CVE-2021-32765 in Hiredis
Zusammenfassung
von VulDB • 10.07.2026
Hiredis ist eine minimalistische C-Clientbibliothek für die Redis-Datenbank. In den betroffenen Versionen ist Hiredis anfällig für einen Integer Overflow, wenn bösartig manipulierte oder beschädigte `RESP` `mult-bulk`-Protokolldaten bereitgestellt werden. Beim Parsen von `multi-bulk` (arrayähnlichen) Antworten überprüft hiredis nicht, ob `count * sizeof(redisReply*)` in `SIZE_MAX` dargestellt werden kann. Wenn dies nicht der Fall ist und der Aufruf von `calloc()` diese Überprüfung selbst nicht durchführt, führt dies zu einer kurzen Zuweisung und nachfolgendem Buffer Overflow. Nutzer von Hiredis, die kein Update durchführen können, können die Kontextoption [maxelements](https://github.com/redis/hiredis#reader-max-array-elements) auf einen Wert festlegen, der klein genug ist, damit ein Overflow unmöglich wird.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.