Vulnerabilidad en RedisTimeSeries (CVE-2024-51480)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)

Fecha de publicación:

08/01/2025

Última modificación:

08/01/2025

Descripción

RedisTimeSeries es un módulo de base de datos de series temporales (TSDB) para Redis, creado por Redis. La ejecución de uno de estos comandos TS.QUERYINDEX, TS.MGET, TS.MRAGE, TS.MREVRANGE por parte de un usuario autenticado, utilizando argumentos de comando especialmente manipulados, puede provocar un desbordamiento de enteros, un desbordamiento de montón posterior y, potencialmente, provocar la ejecución remota de código. Esta vulnerabilidad se ha corregido en las versiones 1.6.20, 1.8.15, 1.10.15 y 1.12.3.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.00

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/RedisTimeSeries/RedisTimeSeries/security/advisories/GHSA-73x6-fqww-x8rg