Уведомления об уязвимостях
CVE-2024-46981 — удаленное выполнение кода в Redis
CVE-2024-46981 — уязвимость удаленного выполнения кода в Redis. Аутентифицированный пользователь может использовать специально созданный Lua-скрипт для манипуляций со сборщиком мусора, что может привести к удаленному выполнению кода. Проблема была исправлена в версиях 7.4.2, 7.2.7 и 6.2.17.
Серьезность: важная
Затронутые версии Redis:
ниже 7.4.2;
ниже 7.2.7;
ниже 6.2.17.
Как устранить уязвимость
Чтобы ограничить запуск Lua-скриптов пользователями, настройте ACL-ограничения на использование команд EVAL и EVALSHA.