Vulnerabilidad en Redis ACE

INTRODUCCIÓN

Una nueva vulnerabilidad en Redis podría dar lugar a ataques de ejecución de código arbitrario (CVE-2022-35951).

ANÁLISIS

Redis podría permitir a un atacante local autentificado ejecutar código arbitrario en el sistema, el fallo es causado por un desbordamiento de enteros al ejecutar un comando XAUTOCLAIM en una clave de flujo en un estado específico. Utilizando un argumento COUNT especialmente diseñado, un atacante podría ejecutar código arbitrario en el sistema.CVSS Score: 9.8

Versiones afectadas:

Redis versions>=7.0.0

RECOMENDACIONES

Actualizar a la Versión 7.0.5

REFERENCIAS

https://securityonline.info/cve-2022-35951-redis-flaw-could-lead-to-execute-arbitrary-code-attacks/
https://nvd.nist.gov/vuln/detail/CVE-2022-35951
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/A7INCOOFPPEAKNDBZU3TIZJPYXBULI2C/