安全通告

Redis RedisGraph 任意代码执行漏洞预警通告

发布日期：2023-11-13

漏洞描述

2023年11月13日公司监测到Redis RedisGraph 任意代码执行漏洞(CVE-2023-47004)情报。RedisGraph 是高性能内存数据库 Redis 的图形数据库模块，它由Redis Labs 开发，用于向 Redis 添加图形数据库功能。该漏洞是由于对字符串数组的长度缺乏正确计算，经过身份验证的威胁者可以通过构造包含字符串数组的恶意请求，导致缓冲区溢出，成功利用该漏洞可能会、导致在易受攻击的Redis 实例上执行任意代码。

漏洞编号

CVE-2023-47004

漏洞危害

经过redis身份验证的威胁者可以通过构造包含字符串数组的恶意请求，导致缓冲区溢出，成功利用该漏洞可能会、导致在易受攻击的Redis 实例上执行任意代码。

漏洞等级

高危
受影响版本

RedisGraph 版本 2.x – 2.12.8

修复方案

目前该漏洞已经修复，受影响用户可升级到RedisGraph v.2.12.9或更高版本。

下载链接：

https://github.com/RedisGraph/RedisGraph/releases

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-47004