Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Redis (CVE-2025-21605)
    Severidad: ALTA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 14/11/2025
    Redis es una base de datos en memoria de código abierto que persiste en el disco. En versiones a partir de la 2.6 y anteriores a la 7.4.3, un cliente no autenticado puede provocar un crecimiento ilimitado de los búferes de salida, hasta que el servidor se quede sin memoria o se cierre. De forma predeterminada, la configuración de Redis no limita el búfer de salida de los clientes normales (véase client-output-buffer-limit). Por lo tanto, el búfer de salida puede crecer ilimitadamente con el tiempo. Como resultado, el servicio se agota y la memoria no está disponible. Cuando la autenticación con contraseña está habilitada en el servidor Redis, pero no se proporciona ninguna contraseña, el cliente puede provocar que el búfer de salida crezca a partir de respuestas "NOAUTH" hasta que el sistema se quede sin memoria. Este problema se ha corregido en la versión 7.4.3. Otro workaround para mitigar este problema sin parchear el ejecutable redis-server es bloquear el acceso para evitar que usuarios no autenticados se conecten a Redis. Esto se puede hacer de diferentes maneras. Ya sea utilizando herramientas de control de acceso a la red, como firewalls, iptables, grupos de seguridad, etc., o habilitando TLS y requiriendo que los usuarios se autentiquen utilizando certificados del lado del cliente.