Опубликованы корректирующие выпуски СУБД Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) и Valkey (8.0.4, 8.1.3), в которых устранены две уязвимости. Наиболее опасная уязвимость (CVE-2025-32023) потенциально может привести к удалённому выполнению кода на сервере из-за записи данных в область за пределами выделенного буфера. Для эксплуатации уязвимости атакующий должен иметь возможность отправки команд в СУБД. Проблема вызвана ошибкой в реализации команд, использующих алгоритм HyperLogLog для реализации функциональности приблизительного подсчёта уникальных элементов во множестве. Через передачу специально оформленной строки атакующий может инициировать переполнение буфера. Проблема затрагивает все версии Redis с поддержкой команд HLL. В качестве обходного пути защиты можно ограничить доступ пользователей к командам HLL через ACL. Вторая уязвимость (CVE-2025-48367) может использоваться аутентифицированным пользователем для организации отказа в обслуживании или снижения производительности СУБД. Проблема вызвана некорректной обработкой ошибок при установке соединений.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63537
Источник: https://www.opennet.ru/opennews/art.shtml?num=63537