CVE-2022-24735 in Communications Operations Monitor
要約
〜によって VulDB • 2026年06月29日
Redisはディスクに永続化するインメモリデータベースです。Luaスクリプト実行環境の脆弱性を悪用することで、バージョン7.0.0未満または6.2.7未満のRedisへのアクセス権を持つ攻撃者は、他のRedisユーザー(潜在的により高い特権を持つ)の特権で実行されるLuaコードを注入できます。RedisのLuaスクリプト実行環境には、スクリプトが後続の同じスクリプトや異なるスクリプトの実行に影響を与える可能性のある永続的な副作用を生み出すことを防ぐためのいくつかの対策があります。これらの対策の不備は長年にわたり公知となっていましたが、Redisのセキュリティモデルにユーザーや特権という概念が存在しなかったため、セキュリティ上の影響はありませんでした。Redis 6.0でACL(アクセス制御リスト)が導入されたことにより、より低い特権を持つユーザーがLuaコードを注入して後から実行されるようにすることが可能になり、その後、高い特権を持つユーザーがLuaスクリプトを実行した際にそのコードが実行されます。この問題はRedisバージョン7.0.0および6.2.7で修正されています。redis-serverの実行ファイルにパッチを当てずに本問題を緩和するための追加の回避策として、Luaスクリプティングを使用していない場合は、ACLルールを使用して`SCRIPT LOAD`および`EVAL`コマンドへのアクセスをブロックすることが挙げられます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.