Pelepasan koréksi tina Redis DBMS 7.0.5 parantos diterbitkeun, anu ngaleungitkeun kerentanan (CVE-2022-35951) anu berpotensi ngamungkinkeun panyerang ngaéksekusi kodena kalayan hak prosés Redis. Masalahna ngan mangaruhan cabang 7.x sareng ngabutuhkeun aksés pikeun ngalaksanakeun patarosan pikeun ngalaksanakeun serangan.
Kerentanan disababkeun ku integer ngabahekeun anu lumangsung nalika nilai lepat dieusian pikeun parameter "COUNT" dina paréntah "XAUTOCLAIM". Lamun maké kenop stream dina paréntah, dina kaayaan nu tangtu, integer ngabahekeun bisa dipaké pikeun nulis ka wewengkon saluareun memori numpuk dialokasikeun.
sumber: opennet.ru