Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en hyperloglog data structure de Redis (CVE-2019-10193)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-121 Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
11/07/2019
Última modificación:
17/06/2026

Descripción

Se detectó una vulnerabilidad de desbordamiento del búfer de la pila en hyperloglog data structure de Redis en las versiones 3.x anteriores a 3.2.13, versiones 4.x anteriores a 4.0.14 y versiones 5.x anteriores a 5.0.4. Por la corrupción de un hiperloglog usando el comando SETRANGE, un atacante podría causar que Redis realizara incrementos controlados de hasta 12 bytes más allá del final de un búfer asignado a la pila.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redislabs:redis:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.2.13 (excluyendo)
cpe:2.3:a:redislabs:redis:*:*:*:*:*:*:*:* 4.0.0 (incluyendo) 4.0.14 (excluyendo)
cpe:2.3:a:redislabs:redis:*:*:*:*:*:*:*:* 5.0 (incluyendo) 5.0.4 (excluyendo)
cpe:2.3:a:redhat:openstack:9:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openstack:10:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openstack:13:*:*:*:*:*:*:*
cpe:2.3:a:redhat:openstack:14:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:8.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_eus:8.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:8.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_aus:8.4:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:8.2:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server_tus:8.4:*:*:*:*:*:*:*