CVE-2022-24735 in Communications Operations Monitor
Résumé
par VulDB • 02/07/2026
Redis est une base de données en mémoire qui persiste sur disque. En exploitant des faiblesses dans l'environnement d'exécution des scripts Lua, un attaquant ayant accès à Redis avant les versions 7.0.0 ou 6.2.7 peut injecter du code Lua qui s'exécutera avec les privilèges (potentiellement plus élevés) d'un autre utilisateur Redis. L'environnement d'exécution des scripts Lua dans Redis prévoit certaines mesures destinées à empêcher un script de créer des effets secondaires persistants susceptibles d'affecter l'exécution du même script ou d'un script différent ultérieurement. Plusieurs faiblesses de ces mesures sont connues publiquement depuis longtemps, mais elles n'avaient aucun impact sur la sécurité car le modèle de sécurité de Redis ne reconnaissait pas le concept d'utilisateurs ou de privilèges. Avec l'introduction des ACL dans Redis 6.0, ces faiblesses peuvent être exploitées par des utilisateurs moins privilégiés pour injecter du code Lua qui s'exécutera ultérieurement lorsqu'un utilisateur privilégié exécutera un script Lua. Le problème est corrigé dans les versions de Redis 7.0.0 et 6.2.7. Une solution de contournement supplémentaire pour atténuer ce problème sans patcher l'exécutable redis-server, si le scripting Lua n'est pas utilisé, consiste à bloquer l'accès aux commandes `SCRIPT LOAD` et `EVAL` en utilisant des règles ACL.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.