CVE-2024-31449｜Redis 缓冲区溢出漏洞可致远程代码执行

alicy 信安百科 2024-10-19 21:17

0x00 前言

Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。

Redis提供数据结构，例如字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。

Redis内置了复制、Lua 脚本、LRU驱逐、事务和不同级别的磁盘持久性，并通过Redis Sentinel和Redis Cluster自动分区提供高可用性。

0x01 漏洞描述

经过身份验证的用户可能会使用特制的 Lua 脚本来触发位库中的堆栈缓冲区溢出，这可能会导致远程代码执行。所有带有 Lua 脚本的 Redis 版本都存在该问题。

0x02 CVE编号

CVE-2024-31449

0x03 影响版本

2.6 ≤ Redis < 6.2.16

7.0.0 ≤ Redis < 7.2.6

7.4.0 ≤ Redis < 7.4.1

0x04 漏洞详情

https://github.com/redis/redis/security/advisories/GHSA-whxg-wx83-85p5

0x05 参考链接

https://github.com/redis/redis/security/advisories/GHSA-whxg-wx83-85p5

近期文章