Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Canonical›Дистрибутивubuntu

Redict

Уязвимости

10

Эксплуатируемые

0

Макс. CVSS

9.9

Макс. EPSS

0.86268

Распределение по критичности

Критический

2

Высокий

6

Средний

1

Низкий

1

Также сопоставлено как (исходные строки): redict

Топ уязвимостей

CVE-2025-49844Redis - это база данных с открытым исходным кодом, которая сохраняется на диске. Версии 8.2.1 и ниже позволяют аутентифицированному пользователю использовать специально созданный скрипт Lua для манипулирования сборщиком мусора, запуска без использования и потенциального принуждения к удаленному исполнению кода. Проблема существует во всех версиях Redis со сценарием Луа. Эта проблема исправлена в версии 8.2.2. Обходить эту проблему без исправления исполняемого файла redis-server означает, что пользователи не могут выполнять скрипты Lua. Это можно сделать с помощью ACL для ограничения команд EVAL и EVALSHA.

CVE-2024-46981Redis — это база данных в памяти с открытым исходным кодом, которая сохраняется на диске. Аутентифицированный пользователь может использовать специально созданный скрипт Lua для управления сборщиком мусора и потенциально привести к удаленному выполнению кода. Проблема исправлена в версиях 7.4.2, 7.2.7 и 6.2.17. Дополнительным обходным путем для смягчения проблемы без исправления исполняемого файла redis-server является запрет пользователям на выполнение скриптов Lua. Это можно сделать с помощью ACL для ограничения команд EVAL и EVALSHA.

CVE-2025-46817Redis - это база данных с открытым исходным кодом, которая сохраняется на диске. Версии 8.2.1 и ниже позволяют аутентифицированному пользователю использовать специально созданный скрипт Lua, чтобы вызвать переполнение целеуказания и потенциально привести к удаленному выполнению кода. Проблема существует во всех версиях Redis со сценарием Lua. Эта проблема исправлена в версии 8.2.2.

CVE-2025-32023Redis — это открытая, хранящаяся в памяти база данных, которая сохраняется на диске. С версии 2.8 до версии перед 8.0.3, 7.4.5, 7.2.10 и 6.2.19 аутентифицированный пользователь может использовать специально созданную строку для вызова записи за пределами стека/кучи в операциях hyperloglog, что потенциально может привести к удаленному выполнению кода. Ошибка, вероятно, затрагивает все версии Redis с реализованными операциями hyperloglog. Эта уязвимость исправлена в версиях 8.0.3, 7.4.5, 7.2.10 и 6.2.19. Дополнительным обходным путем для смягчения проблемы без исправления исполняемого файла redis-server является предотвращение выполнения операций hyperloglog пользователями. Это можно сделать с помощью ACL для ограничения команд HLL [1]. Источники: - [1] https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43 - [2] https://github.com/redis/redis/commit/50188747cbfe43528d2719399a2a3c9599169445 - [3] https://github.com/redis/redis/releases/tag/6.2.19 - [4] https://github.com/redis/redis/releases/tag/7.2.10 - [5] https://github.com/redis/redis/releases/tag/7.4.5

CVE-2025-48367Redis - это открытая база данных, хранящаяся в памяти и сохраняемая на диске. Неаутентифицированное соединение может вызвать повторяющиеся ошибки протокола IP, что приводит к блокировке клиентов и, в конечном итоге, к отказу в обслуживании. Эта уязвимость исправлена в версиях 8.0.3, 7.4.5, 7.2.10 и 6.2.19. [1] Источники: - [1] https://github.com/redis/redis/security/advisories/GHSA-4q32-c38c-pwgq - [2] https://github.com/redis/redis/commit/bde62951accfc4bb0a516276fd0b4b307e140ce2 - [3] https://github.com/redis/redis/releases/tag/6.2.19 - [4] https://github.com/redis/redis/releases/tag/7.2.10 - [5] https://github.com/redis/redis/releases/tag/7.4.5

CVE-2025-21605Redis является открытым исходным, хранящимся в памяти БД, который сохраняется на диске. В версиях, начиная с 2.6 и до 7.4.3, неаутентифицированный клиент может вызвать неограниченный рост буферов вывода, пока сервер не исчерпает память или не будет завершен [1]. По умолчанию конфигурация Redis не ограничивает буфер вывода нормальных клиентов. Это позволяет буферу расти неограниченно со временем, что приводит к истощению службы и недоступности памяти. Рекомендуется обновить Redis до версии 7.4.3 или более поздней. В качестве обходного пути можно заблокировать доступ, чтобы предотвратить подключение неаутентифицированных пользователей к Redis [1]. Источники: - [1] https://github.com/redis/redis/security/advisories/GHSA-r67f-p999-2gff

CVE-2025-46818Redis - это база данных с открытым исходным кодом, которая сохраняется на диске. Версии 8.2.1 и ниже позволяют аутентифицированному пользователю использовать специально созданный скрипт Lua для манипулирования различными объектами LUA и потенциально запуска своего собственного кода в контексте другого пользователя. Проблема существует во всех версиях Redis со сценарием LUA. Эта проблема исправлена в версии 8.2.2. Обозначение для смягчения проблемы без исправления исполняемого исполнителя redis-server заключается в том, чтобы помешать пользователям выполнять скрипты LUA. Это можно сделать с помощью ACL для блокировки скрипта, ограничивая семейства команд EVAL и FUNCTION.

CVE-2025-46819Redis - это база данных с открытым исходным кодом, которая сохраняется на диске. Версии 8.2.1 и ниже позволяют аутентифицированному пользователю использовать специально созданный скрипт LUA для чтения не связанных данных или сбоя сервера и последующего отказа в обслуживании. Проблема существует во всех версиях Redis со сценарием Lua. Эта проблема исправлена в версии 8.2.2. Обходить эту проблему без исправления исполняемого файла redis-server означает не дать пользователям выполнять скрипты Lua. Это можно сделать с помощью ACL для блокировки скрипта, ограничивая семейства команд EVAL и FUNCTION.

CVE-2024-51741Redis — это база данных в памяти с открытым исходным кодом, которая сохраняется на диске. Аутентифицированный пользователь с достаточными привилегиями может создать неправильно сформированный селектор ACL, который при обращении к нему вызывает панику сервера и последующий отказ в обслуживании. Проблема устранена в Redis 7.2.7 и 7.4.2.

CVE-2025-49112В функции setDeferredReply в файле networking.c проекта Valkey вплоть до версии 8.1.1 обнаружена уязвимость, связанная с целочисленным подполнением при вычислении выражения prev->size - prev->used [1]. Уязвимость возникает из-за отсутствия проверки на подполнение при вычитании prev->used из prev->size. Для устранения этой проблемы рекомендуется явно проверять, что prev->used меньше prev->size, перед выполнением вычитания. Это изменение делает логику более понятной и надежной. Источники: - [1] https://github.com/valkey-io/valkey/blob/daea05b1e26db29bfd1c033e27f9d519a2f8ccbb/src/networking.c#L886 - [2] https://github.com/valkey-io/valkey/pull/2101 - [3] https://github.com/redis/redis/blob/994bc96bb1744cb153392fc96bdba43eae56e17f/src/networking.c#L783

Перейти к вендору →Открыть в каталоге с фильтром по продукту →