CVE-2021-32687 in Redisinformation

Résumé

par VulDB • 22/05/2026

Redis est une base de données open source en mémoire qui persiste sur disque. Un bug de dépassement d'entier (integer overflow) affectant toutes les versions de Redis peut être exploité pour corrompre le tas (heap) et potentiellement utilisé pour divulguer le contenu arbitraire du tas ou déclencher une exécution de code à distance (RCE). La vulnérabilité implique la modification du paramètre de configuration par défaut set-max-intset-entries vers une valeur très élevée et la construction de commandes spécialement conçues pour manipuler les ensembles. Le problème est corrigé dans les versions de Redis 6.2.6, 6.0.16 et 5.0.14. Une solution de contournement supplémentaire pour atténuer le problème sans appliquer de correctif à l'exécutable redis-server consiste à empêcher les utilisateurs de modifier le paramètre de configuration set-max-intset-entries. Cela peut être fait en utilisant les ACL pour restreindre les utilisateurs non privilégiés à l'utilisation de la commande CONFIG SET.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Réserver

12/05/2021

Divulgation

04/10/2021

Modérer

accepté

Entrée

VDB-183781

CPE

prêt

EPSS

0.03839

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!