CVE-2022-24735 in Communications Operations MonitorИнформация

Сводка

по VulDB • 13.06.2026

Redis — это база данных в оперативной памяти, которая сохраняет данные на диске. Эксплуатируя уязвимости в среде выполнения скриптов Lua, злоумышленник, имеющий доступ к Redis до версии 7.0.0 или 6.2.7, может внедрить код Lua, который будет выполняться с правами (потенциально более высокими) другого пользователя Redis. Среда выполнения скриптов Lua в Redis предусматривает некоторые меры, предотвращающие создание скриптом побочных эффектов, которые сохраняются и могут повлиять на выполнение того же или другого скрипта в более позднее время. Несколько уязвимостей этих мер были широко известны в течение длительного времени, но они не имели последствий для безопасности, поскольку модель безопасности Redis не поддерживала концепцию пользователей или привилегий. С внедрением списков управления доступом (ACL) в Redis 6.0 эти уязвимости могут быть использованы пользователями с меньшими привилегиями для внедрения кода Lua, который будет выполнен в более позднее время, когда привилегированный пользователь выполнит скрипт Lua. Проблема исправлена в версиях Redis 7.0.0 и 6.2.7. Дополнительным обходным решением для смягчения этой проблемы без патчинга исполняемого файла redis-server, если скриптинг Lua не используется, является блокировка доступа к командам `SCRIPT LOAD` и `EVAL` с использованием правил ACL.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

GitHub, Inc.

Резервировать

10.02.2022

Раскрытие

28.04.2022

Модерация

принято

Вход

2

Связать

показать

EPSS

0.02189

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!