Vulnerabilidad en go-redis (CVE-2025-29923)

go-redis es la librería cliente oficial de Redis para el lenguaje de programación Go. En versiones anteriores a las 9.5.5, 9.6.3 y 9.7.3, go-redis podía responder de forma incorrecta cuando se agotaba el tiempo de espera de `CLIENT SETINFO` durante el establecimiento de la conexión. Esto puede ocurrir cuando el cliente está configurado para transmitir su identidad, existen problemas de conectividad de red o se configuró con tiempos de espera agresivos. El problema se presenta en varios casos de uso. En conexiones persistentes, se reciben respuestas incorrectas persistentes durante la vida útil de la conexión. Todos los comandos en la canalización reciben respuestas incorrectas. Al usar el ConnPool predeterminado, una vez que se devuelve una conexión después de usar ConnPool#Put, se revisa el búfer de lectura y la conexión se marca como incorrecta debido a los datos no leídos. Esto significa que se recibe como máximo una respuesta incorrecta antes de que se descarte la conexión. Este problema se solucionó en las versiones 9.5.5, 9.6.3 y 9.7.3. Puede evitar la vulnerabilidad estableciendo el indicador DisableIndentity en verdadero al construir la instancia del cliente.