Sintesi

Rilevate nuove vulnerabilità con gravità “alta” in Redis, noto DBMS open source di tipo NoSQL. Tali vulnerabilità, qualora sfruttate, potrebbero permettere l’esecuzione di codice arbitrario sui sistemi interessati da parte di utenti autenticati.

Tipologia

• Remote Code Execution

Prodotti e versioni affette

Redis OSS / CE

• 6.2.x, versioni precedenti alla 6.2.22
• 7.2.x, versioni precedenti alla 7.2.14
• 7.4.x, versioni precedenti alla 7.4.9
• 8.2.x, versioni precedenti alla 8.2.6
• 8.4.x, versioni precedenti alla 8.4.3
• 8.6.x, versioni precedenti alla 8.6.3

Redis Software

• 7.2.x, versioni precedenti alla 7.2.4-153
• 7.4.x, versioni precedenti alla 7.4.6-279
• 7.8.x, versioni precedenti alla 7.8.6-253
• 7.22.x, versioni precedenti alla 7.22.2-79
• 8.0.x, versioni precedenti alla 8.0.10-64

RedisTimeSeries

• 1.8.x, versioni precedenti alla 1.8.23
• 1.10.x, versioni precedenti alla 1.10.24
• 1.12.x, versioni precedenti alla 1.12.14

RedisBloom

• 2.4.x, versioni precedenti alla 2.4.23
• 2.6.x, versioni precedenti alla 2.6.28
• 2.8.x, versioni precedenti alla 2.8.20

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di seguire le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.