Bolo zverejnené opravné vydanie Redis DBMS 7.0.5, ktoré odstraňuje zraniteľnosť (CVE-2022-35951), ktorá by potenciálne mohla umožniť útočníkovi spustiť svoj kód s právami procesu Redis. Problém sa týka iba vetvy 7.x a vyžaduje prístup na vykonanie dotazov na vykonanie útoku.
Zraniteľnosť je spôsobená pretečením celého čísla, ku ktorému dochádza, keď je pre parameter "COUNT" v príkaze "XAUTOCLAIM" zadaná nesprávna hodnota. Pri použití kľúčov toku v príkaze sa v určitom stave môže použiť pretečenie celého čísla na zápis do oblasti za alokovanou pamäťou haldy.
Zdroj: opennet.ru