Korrigerande versioner av Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) och Valkey (8.0.4, 8.1.3) DBMS har publicerats, vilka åtgärdar två sårbarheter. Den farligaste sårbarheten (CVE-2025-32023) kan potentiellt leda till fjärrkörning av kod på servern på grund av att data skrivs till ett område utanför den allokerade bufferten. För att utnyttja sårbarheten måste en angripare kunna skicka kommandon till DBMS:et.
Problemet orsakas av ett fel i implementeringen av kommandon som använder HyperLogLog-algoritmen för att approximera antalet unika element i en uppsättning. Genom att skicka en specialskriven sträng kan en angripare utlösa ett buffertöverflöde. Problemet påverkar alla versioner av Redis som stöder HLL-kommandon. Som en lösning kan du begränsa användaråtkomsten till HLL-kommandon via ACL.
Den andra sårbarheten (CVE-2025-48367) kan användas av en autentiserad användare för att orsaka en överbelastningsattack eller minska prestandan för DBMS. Problemet orsakas av felaktig felhantering vid upprättande av anslutningar.
Källa: opennet.ru
