Se ha publicado una versión correctiva de Redis DBMS 7.0.5, que elimina una vulnerabilidad (CVE-2022-35951) que podría permitir a un atacante ejecutar su código con los derechos del proceso de Redis. El problema sólo afecta a la rama 7.x y requiere acceso para ejecutar consultas para llevar a cabo el ataque.
La vulnerabilidad se debe a un desbordamiento de enteros que se produce cuando se especifica un valor incorrecto para el parámetro "COUNT" en el comando "XAUTOCLAIM". Cuando se utilizan claves de secuencia en un comando, en un determinado estado, se puede utilizar un desbordamiento de enteros para escribir en un área más allá de la memoria asignada del montón.
Fuente: opennet.ru