CVE-2026-21863 in valkey
Riassunto
di VulDB • 24/06/2026
Valkey è un database distribuito chiave-valore. Prima delle versioni 9.0.2, 8.1.6, 8.0.7 e 7.2.12, un malintenzionato con accesso alla porta clusterbus di Valkey può inviare un pacchetto non valido che potrebbe causare una lettura fuori dai limiti (out of bounds read), portando potenzialmente al crash del sistema. Il codice di elaborazione dei pacchetti clusterbus di Valkey non valida la presenza dell'estensione ping del clusterbus all'interno del buffer del pacchetto clusterbus prima di tentarne la lettura. Le versioni 9.0.2, 8.1.6, 8.0.7 e 7.2.12 risolvono il problema. Come ulteriore misura di mitigazione, non esporre direttamente la connessione del bus cluster agli utenti finali e proteggere tale connessione con appositi ACL di rete (Network ACLs).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.