Vulnerabilidad en Redis (CVE-2022-35977)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
20/01/2023
Última modificación:
03/11/2025
Descripción
Redis es una base de datos en memoria que persiste en el disco. Los usuarios autenticados que emiten comandos `SETRANGE` y `SORT(_RO)` especialmente manipulados pueden desencadenar un desbordamiento de enteros, lo que hace que Redis intente asignar cantidades imposibles de memoria y aborte con un pánico de falta de memoria (OOM). El problema se solucionó en las versiones 7.0.8, 6.2.9 y 6.0.17 de Redis. Se recomienda a los usuarios que actualicen. No se conocen soluciones para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.0.17 (excluyendo) |
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | 6.2.9 (excluyendo) |
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.8 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/redis/redis/commit/1ec82e6e97e1db06a72ca505f9fbf6b981f31ef7
- https://github.com/redis/redis/releases/tag/6.0.17
- https://github.com/redis/redis/releases/tag/6.2.9
- https://github.com/redis/redis/releases/tag/7.0.8
- https://github.com/redis/redis/security/advisories/GHSA-mrcw-fhw9-fj8j
- https://github.com/redis/redis/commit/1ec82e6e97e1db06a72ca505f9fbf6b981f31ef7
- https://github.com/redis/redis/releases/tag/6.0.17
- https://github.com/redis/redis/releases/tag/6.2.9
- https://github.com/redis/redis/releases/tag/7.0.8
- https://github.com/redis/redis/security/advisories/GHSA-mrcw-fhw9-fj8j
- https://lists.debian.org/debian-lts-announce/2024/11/msg00031.html