CVE-2022-24735 in Communications Operations Monitor
Tóm tắt
Bởi VulDB • 02/07/2026
Redis là một cơ sở dữ liệu trong bộ nhớ (in-memory database) có khả năng lưu trữ bền vững trên đĩa. Bằng cách khai thác các lỗ hổng trong môi trường thực thi tập lệnh Lua, kẻ tấn công có quyền truy cập vào Redis trước phiên bản 7.0.0 hoặc 6.2.7 có thể chèn mã Lua sẽ được thực thi với đặc quyền (có thể cao hơn) của một người dùng Redis khác. Môi trường thực thi tập lệnh Lua trong Redis cung cấp một số biện pháp ngăn chặn việc tạo ra các tác dụng phụ tồn tại và ảnh hưởng đến việc thực thi cùng hoặc khác tập lệnh vào thời điểm sau đó. Nhiều lỗ hổng của các biện pháp này đã được biết đến công khai từ lâu, nhưng chúng không có tác động bảo mật vì mô hình bảo mật của Redis trước đây chưa hỗ trợ khái niệm người dùng hay đặc quyền. Với việc giới thiệu ACLs (Danh sách kiểm soát truy cập) trong Redis 6.0, những lỗ hổng này có thể bị kẻ tấn công với ít đặc quyền hơn khai thác để chèn mã Lua sẽ được thực thi vào một thời điểm sau đó khi một người dùng có nhiều đặc quyền thực hiện tập lệnh Lua. Vấn đề đã được khắc phục trong các phiên bản Redis 7.0.0 và 6.2.7. Một giải pháp tạm thời bổ sung để giảm thiểu vấn đề này mà không cần vá tệp thực thi redis-server, nếu việc sử dụng scripting Lua không diễn ra, là chặn quyền truy cập vào lệnh `SCRIPT LOAD` và `EVAL` bằng cách sử dụng các quy tắc ACL.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.