Byly publikovány opravné verze systémů pro správu databází Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) a Valkey (8.0.4, 8.1.3), které opravují dvě zranitelnosti. Nejnebezpečnější zranitelnost (CVE-2025-32023) může potenciálně vést ke vzdálenému spuštění kódu na serveru v důsledku zápisu dat do oblasti mimo alokovanou vyrovnávací paměť. Aby útočník mohl tuto zranitelnost zneužít, musí být schopen odesílat příkazy do systému pro správu databází.
Problém je způsoben chybou v implementaci příkazů, které používají algoritmus HyperLogLog k aproximaci počtu jedinečných prvků v sadě. Předáním speciálně vytvořeného řetězce může útočník spustit přetečení vyrovnávací paměti. Problém se týká všech verzí Redis, které podporují příkazy HLL. Jako alternativní řešení můžete omezit přístup uživatelů k příkazům HLL pomocí ACL.
Druhá zranitelnost (CVE-2025-48367) může být zneužita ověřeným uživatelem k vyvolání odmítnutí služby nebo ke snížení výkonu systému DBMS. Problém je způsoben nesprávným ošetřením chyb při navazování spojení.
Zdroj: opennet.ru
