CVE-2022-24735 in Communications Operations Monitorthông tin

Tóm tắt

Bởi VulDB • 02/07/2026

Redis là một cơ sở dữ liệu trong bộ nhớ (in-memory database) có khả năng lưu trữ bền vững trên đĩa. Bằng cách khai thác các lỗ hổng trong môi trường thực thi tập lệnh Lua, kẻ tấn công có quyền truy cập vào Redis trước phiên bản 7.0.0 hoặc 6.2.7 có thể chèn mã Lua sẽ được thực thi với đặc quyền (có thể cao hơn) của một người dùng Redis khác. Môi trường thực thi tập lệnh Lua trong Redis cung cấp một số biện pháp ngăn chặn việc tạo ra các tác dụng phụ tồn tại và ảnh hưởng đến việc thực thi cùng hoặc khác tập lệnh vào thời điểm sau đó. Nhiều lỗ hổng của các biện pháp này đã được biết đến công khai từ lâu, nhưng chúng không có tác động bảo mật vì mô hình bảo mật của Redis trước đây chưa hỗ trợ khái niệm người dùng hay đặc quyền. Với việc giới thiệu ACLs (Danh sách kiểm soát truy cập) trong Redis 6.0, những lỗ hổng này có thể bị kẻ tấn công với ít đặc quyền hơn khai thác để chèn mã Lua sẽ được thực thi vào một thời điểm sau đó khi một người dùng có nhiều đặc quyền thực hiện tập lệnh Lua. Vấn đề đã được khắc phục trong các phiên bản Redis 7.0.0 và 6.2.7. Một giải pháp tạm thời bổ sung để giảm thiểu vấn đề này mà không cần vá tệp thực thi redis-server, nếu việc sử dụng scripting Lua không diễn ra, là chặn quyền truy cập vào lệnh `SCRIPT LOAD` và `EVAL` bằng cách sử dụng các quy tắc ACL.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub, Inc.

Đặt trước

10/02/2022

Tiết lộ

28/04/2022

Kiểm duyệt

được chấp nhận

mục

2

Liên hệ

hiển thị

EPSS

0.02189

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!