Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-12557

Опубликовано: 03 окт. 2025
Источник: fstec
CVSS3: 6
CVSS2: 5.5
EPSS Низкий

Описание

Уязвимость системы управления базами данных (СУБД) Redis связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Red Hat Inc.
Redis Labs
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Redis
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
9 (Red Hat Enterprise Linux)
до 8.2.1 включительно (Redis)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/redis/redis/commit/45eac0262028c771b6f5307372814b75f49f7a9e
https://github.com/redis/redis/releases/tag/8.2.2
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-46818
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения redis до версии 5:7.0.15-3osnova3u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03178
Низкий

6 Medium

CVSS3

5.5 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251217-7323

CVSS3: 6
redos
4 месяца назад

Уязвимость valkey

redos логотип

ROS-20251029-06

CVSS3: 9.9
redos
5 месяцев назад

Множественные уязвимости redis

ubuntu логотип

CVE-2025-46818

CVSS3: 6
ubuntu
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. Versions 8.2.1 and below allow an authenticated user to use a specially crafted Lua script to manipulate different LUA objects and potentially run their own code in the context of another user. The problem exists in all versions of Redis with LUA scripting. This issue is fixed in version 8.2.2. A workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing LUA scripts. This can be done using ACL to block a script by restricting both the EVAL and FUNCTION command families.

redhat логотип

CVE-2025-46818

CVSS3: 6
redhat
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. Versions 8.2.1 and below allow an authenticated user to use a specially crafted Lua script to manipulate different LUA objects and potentially run their own code in the context of another user. The problem exists in all versions of Redis with LUA scripting. This issue is fixed in version 8.2.2. A workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing LUA scripts. This can be done using ACL to block a script by restricting both the EVAL and FUNCTION command families.

nvd логотип

CVE-2025-46818

CVSS3: 6
nvd
6 месяцев назад

Redis is an open source, in-memory database that persists on disk. Versions 8.2.1 and below allow an authenticated user to use a specially crafted Lua script to manipulate different LUA objects and potentially run their own code in the context of another user. The problem exists in all versions of Redis with LUA scripting. This issue is fixed in version 8.2.2. A workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing LUA scripts. This can be done using ACL to block a script by restricting both the EVAL and FUNCTION command families.

EPSS

Процентиль: 87%
0.03178
Низкий

6 Medium

CVSS3

5.5 Medium

CVSS2