安全通告
Redis RedisGraph 任意代码执行漏洞预警通告
发布日期:2023-11-13
漏洞描述
2023年11月13日公司监测到Redis RedisGraph 任意代码执行漏洞(CVE-2023-47004)情报。RedisGraph 是高性能内存数据库 Redis 的图形数据库模块,它由Redis Labs 开发,用于向 Redis 添加图形数据库功能。该漏洞是由于对字符串数组的长度缺乏正确计算,经过身份验证的威胁者可以通过构造包含字符串数组的恶意请求,导致缓冲区溢出,成功利用该漏洞可能会、导致在易受攻击的Redis 实例上执行任意代码。
漏洞编号
CVE-2023-47004
漏洞危害
经过redis身份验证的威胁者可以通过构造包含字符串数组的恶意请求,导致缓冲区溢出,成功利用该漏洞可能会、导致在易受攻击的Redis 实例上执行任意代码。
漏洞等级
高危
受影响版本
RedisGraph 版本 2.x – 2.12.8
修复方案
目前该漏洞已经修复,受影响用户可升级到RedisGraph v.2.12.9或更高版本。
下载链接:
https://github.com/RedisGraph/RedisGraph/releases
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2023-47004