Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00214

Опубликовано: 06 янв. 2025
Источник: fstec
CVSS3: 7
CVSS2: 6
EPSS Высокий

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путём внедрения специально сформированного lua-скрипта

Вендор

ООО «Ред Софт»
Redis Labs
АО "НППКТ"

Наименование ПО

РЕД ОС
Redis
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
от 6.2.0 до 6.2.17 (Redis)
от 7.2.0 до 7.2.7 (Redis)
от 7.4.0 до 7.4.2 (Redis)
до 2.13 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.13

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/redis/redis/releases/tag/6.2.17
https://github.com/redis/redis/releases/tag/7.2.7
https://github.com/redis/redis/releases/tag/7.4.2
https://github.com/redis/redis/security/advisories/GHSA-39h2-x6c4-6w4c
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Обновление программного обеспечения redis до версии 5:7.0.15-3osnova2u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.73555
Высокий

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250114-13

CVSS3: 4.4
redos
5 месяцев назад

Множественные уязвимости redis

ubuntu логотип

CVE-2024-46981

CVSS3: 7
ubuntu
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to manipulate the garbage collector and potentially lead to remote code execution. The problem is fixed in 7.4.2, 7.2.7, and 6.2.17. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing Lua scripts. This can be done using ACL to restrict EVAL and EVALSHA commands.

redhat логотип

CVE-2024-46981

CVSS3: 7
redhat
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to manipulate the garbage collector and potentially lead to remote code execution. The problem is fixed in 7.4.2, 7.2.7, and 6.2.17. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing Lua scripts. This can be done using ACL to restrict EVAL and EVALSHA commands.

nvd логотип

CVE-2024-46981

CVSS3: 7
nvd
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. An authenticated user may use a specially crafted Lua script to manipulate the garbage collector and potentially lead to remote code execution. The problem is fixed in 7.4.2, 7.2.7, and 6.2.17. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing Lua scripts. This can be done using ACL to restrict EVAL and EVALSHA commands.

msrc логотип

CVE-2024-46981

CVSS3: 7
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 99%
0.73555
Высокий

7 High

CVSS3

6 Medium

CVSS2