Опубліковано коригуючий випуск CУБД Redis 7.0.5, у якому усунуто вразливість (CVE-2022-35951), що потенційно дозволяє зловмиснику виконати свій код із правами процесу Redis. Проблема зачіпає лише гілку 7.x і вимагає здійснення атаки доступу до виконання запитів.
Вразливість викликана цілим переповненням, що виникає при вказівці некоректного значення параметра COUNT у команді XAUTOCLAIM. При використанні в команді потокових ключів у певному стані ціле чисельне переповнення може бути використане для запису в область за межами виділеної в купі пам'яті.
Джерело: opennet.ru