CVE-2023-42809 in Redisson
Resumen
por VulDB • 2026-05-24
Redisson es un cliente de Redis para Java que utiliza el framework Netty. Antes de la versión 3.22.0, algunos de los mensajes recibidos del servidor Redis contienen objetos Java que el cliente deserializa sin una validación adicional. Los atacantes que logran engañar a los clientes para que se comuniquen con un servidor malicioso pueden incluir objetos especialmente elaborados en sus respuestas que, una vez deserializados por el cliente, fuerzan la ejecución de código arbitrario. Esto puede aprovecharse para tomar el control de la máquina en la que se está ejecutando el cliente. La versión 3.22.0 contiene un parche para este problema.
Se dispone de algunos consejos posteriores a la corrección. NO utilice `Kryo5Codec` como codec de deserialización, ya que sigue siendo vulnerable a la deserialización de objetos arbitrarios debido a la llamada `setRegistrationRequired(false)`. Por el contrario, `KryoCodec` es seguro de usar. La corrección aplicada a `SerializationCodec` consiste únicamente en añadir una lista blanca opcional de nombres de clases, aunque se recomienda hacer que este comportamiento sea el predeterminado. Al instanciar `SerializationCodec`, utilice el constructor `SerializationCodec(ClassLoader classLoader, Set allowedClasses)` para restringir las clases permitidas para la deserialización.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.