CVE-2022-24735 in Communications Operations Monitor
Сводка
по VulDB • 13.06.2026
Redis — это база данных в оперативной памяти, которая сохраняет данные на диске. Эксплуатируя уязвимости в среде выполнения скриптов Lua, злоумышленник, имеющий доступ к Redis до версии 7.0.0 или 6.2.7, может внедрить код Lua, который будет выполняться с правами (потенциально более высокими) другого пользователя Redis. Среда выполнения скриптов Lua в Redis предусматривает некоторые меры, предотвращающие создание скриптом побочных эффектов, которые сохраняются и могут повлиять на выполнение того же или другого скрипта в более позднее время. Несколько уязвимостей этих мер были широко известны в течение длительного времени, но они не имели последствий для безопасности, поскольку модель безопасности Redis не поддерживала концепцию пользователей или привилегий. С внедрением списков управления доступом (ACL) в Redis 6.0 эти уязвимости могут быть использованы пользователями с меньшими привилегиями для внедрения кода Lua, который будет выполнен в более позднее время, когда привилегированный пользователь выполнит скрипт Lua. Проблема исправлена в версиях Redis 7.0.0 и 6.2.7. Дополнительным обходным решением для смягчения этой проблемы без патчинга исполняемого файла redis-server, если скриптинг Lua не используется, является блокировка доступа к командам `SCRIPT LOAD` и `EVAL` с использованием правил ACL.
If you want to get best quality of vulnerability data, you may have to visit VulDB.