一、 漏洞 CVE-2024-31228 基础信息
漏洞标题
Redis未限制模式匹配导致拒绝服务漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Redis是一款开源的内存数据库,并在磁盘上持久化数据。经过身份验证的用户可以通过使用特制的、较长的字符串匹配模式在支持的命令(如`KEYS`、`SCAN`、`PSUBSCRIBE`、`FUNCTION LIST`、`COMMAND LIST`和ACL定义)上触发拒绝服务。匹配极长的模式可能导致无限递归,从而引发栈溢出并导致进程崩溃。此问题已在Redis版本6.2.16、7.2.6和7.4.1中修复。建议用户进行升级。目前尚无已知的缓解措施。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
跨界内存写
来源:AIGC 神龙大模型
漏洞标题
Denial-of-service due to unbounded pattern matching in Redis
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Redis is an open source, in-memory database that persists on disk. Authenticated users can trigger a denial-of-service by using specially crafted, long string match patterns on supported commands such as `KEYS`, `SCAN`, `PSUBSCRIBE`, `FUNCTION LIST`, `COMMAND LIST` and ACL definitions. Matching of extremely long patterns may result in unbounded recursion, leading to stack overflow and process crash. This problem has been fixed in Redis versions 6.2.16, 7.2.6, and 7.4.1. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的递归
来源:美国国家漏洞数据库 NVD
漏洞标题
Redis 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。 Redis存在安全漏洞。攻击者利用该漏洞导致无限制递归,从而导致堆栈溢出和进程崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-31228 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-31228 的情报信息