PT-2024-20757 · Redis · Redisbloom

Ashitaka Akasaka

+1

·

Publicado

2024-04-09

·

Atualizado

2024-04-10

·

CVE-2024-25115

CVSS v3.1

7.0

Alta

VetorAV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do RedisBloom 2.0.0 a 2.4.6
Versões do RedisBloom 2.6.0 a 2.6.9
Descrição
O RedisBloom adiciona um conjunto de estruturas de dados probabilísticas ao Redis. Comandos CF.LOADCHUNK especialmente criados podem ser usados por usuários autenticados para causar estouro de pilha, o que pode levar à execução remota de código.
Recomendações
Para as versões 2.0.0 a 2.4.6 do RedisBloom, atualize para a versão 2.4.7 para resolver o problema.
Para as versões 2.6.0 a 2.6.9 do RedisBloom, atualize para a versão 2.6.10 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao comando CF.LOADCHUNK para minimizar o risco de exploração.

Exploit

Correção

Heap Based Buffer Overflow

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-122CWE-120

Identificadores relacionados

CVE-2024-25115
GHSA-W583-P2WH-4VJ5

Produtos afetados

Redisbloom