CVE-2023-42809 in Redisson
Sumário
de VulDB • 26/05/2026
O Redisson é um cliente Java para Redis que utiliza o framework Netty. Antes da versão 3.22.0, algumas das mensagens recebidas do servidor Redis contêm objetos Java que o cliente desserializa sem validação adicional. Atacantes que consigam enganar os clientes para que se comuniquem com um servidor malicioso podem incluir objetos especialmente elaborados em suas respostas que, uma vez desserializados pelo cliente, forçam a execução de código arbitrário. Isso pode ser explorado para assumir o controle da máquina na qual o cliente está sendo executado. A versão 3.22.0 contém um patch para este problema.
Algumas recomendações pós-correção estão disponíveis. NÃO utilize `Kryo5Codec` como codec de desserialização, pois ele ainda é vulnerável à desserialização de objetos arbitrários devido à chamada `setRegistrationRequired(false)`. Por outro lado, `KryoCodec` é seguro para uso. A correção aplicada ao `SerializationCodec` consiste apenas na adição de uma lista de permissão (allowlist) opcional de nomes de classes, embora seja recomendável tornar esse comportamento padrão. Ao instanciar `SerializationCodec`, utilize o construtor `SerializationCodec(ClassLoader classLoader, Set allowedClasses)` para restringir as classes permitidas para desserialização.
If you want to get best quality of vulnerability data, you may have to visit VulDB.