Redis DBMS 7.0.5 の修正リリースが公開されました。これにより、攻撃者が Redis プロセスの権限でコードを実行できる可能性がある脆弱性 (CVE-2022-35951) が解消されます。 この問題は 7.x ブランチにのみ影響し、攻撃を実行するにはクエリを実行するためのアクセスが必要です。
この脆弱性は、「XAUTOCLAIM」コマンドの「COUNT」パラメータに不正な値が指定された場合に発生する整数オーバーフローによって引き起こされます。 コマンドでストリーム キーを使用する場合、特定の状態では、整数オーバーフローを使用して、ヒープに割り当てられたメモリを超える領域に書き込むことができます。
出所: オープンネット.ru