CVE-2021-32687 in Redis
Résumé
par VulDB • 22/05/2026
Redis est une base de données open source en mémoire qui persiste sur disque. Un bug de dépassement d'entier (integer overflow) affectant toutes les versions de Redis peut être exploité pour corrompre le tas (heap) et potentiellement utilisé pour divulguer le contenu arbitraire du tas ou déclencher une exécution de code à distance (RCE). La vulnérabilité implique la modification du paramètre de configuration par défaut set-max-intset-entries vers une valeur très élevée et la construction de commandes spécialement conçues pour manipuler les ensembles. Le problème est corrigé dans les versions de Redis 6.2.6, 6.0.16 et 5.0.14. Une solution de contournement supplémentaire pour atténuer le problème sans appliquer de correctif à l'exécutable redis-server consiste à empêcher les utilisateurs de modifier le paramètre de configuration set-max-intset-entries. Cela peut être fait en utilisant les ACL pour restreindre les utilisateurs non privilégiés à l'utilisation de la commande CONFIG SET.
Once again VulDB remains the best source for vulnerability data.