Vulnerabilidad en Redis (CVE-2024-46981)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
06/01/2025
Última modificación:
19/03/2025
Descripción
Redis es una base de datos en memoria de código abierto que persiste en el disco. Un usuario autenticado puede usar un script Lua especialmente manipulado para manipular el recolector de elementos no utilizados y potencialmente provocar la ejecución remota de código. El problema se solucionó en 7.4.2, 7.2.7 y 6.2.17. Un workaround adicional para mitigar el problema sin aplicar un parche al ejecutable redis-server es evitar que los usuarios ejecuten scripts Lua. Esto se puede hacer usando ACL para restringir los comandos EVAL y EVALSHA.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/redis/redis/releases/tag/6.2.17
- https://github.com/redis/redis/releases/tag/7.2.7
- https://github.com/redis/redis/releases/tag/7.4.2
- https://github.com/redis/redis/security/advisories/GHSA-39h2-x6c4-6w4c
- https://lists.debian.org/debian-lts-announce/2025/01/msg00018.html
- https://www.vicarius.io/vsociety/posts/cve-2024-46981-detect-redis-vulnerability
- https://www.vicarius.io/vsociety/posts/cve-2024-46981-mitigate-redis-vulnerability