CVE-2025-25069 in Kvrocks
Resumen
por MITRE • 2025-02-07
Se ha detectado una vulnerabilidad de Cross-Protocol Scripting en Apache Kvrocks. Dado que Kvrocks no detecta si aparece "Host:" o "POST" en las solicitudes RESP, también se puede enviar una solicitud HTTP válida a Kvrocks como una solicitud RESP válida y activar algunas operaciones de base de datos, lo que puede ser peligroso cuando se encadena con SSRF. Es similar a CVE-2016-10517 en Redis. Este problema afecta a Apache Kvrocks: desde la versión inicial hasta la última versión 2.11.0. Se recomienda a los usuarios que actualicen a la versión 2.11.1, que soluciona el problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.