一、 漏洞 CVE-2024-55656 基础信息
漏洞标题
RedisBloom 整数溢出远程代码执行漏洞
来源:AIGC 神龙大模型
漏洞描述信息
RedisBloom 是为 Redis 添加的一组概率数据结构。RedisBloom 模块中存在一个整数溢出漏洞,该漏洞允许攻击者(一个知道密码的 Redis 客户端)由于数据溢出而在堆中分配比所需更少的内存。然后可以在超出分配的内存范围之外进行读写操作,导致信息泄露和越界写入。该整数溢出漏洞存在于 CMS.INITBYDIM 命令中,该命令用于将 Count-Min Sketch 初始化为用户指定的维度。该命令接受两个值(宽度和深度),并使用它们在 NewCMSketch() 函数中分配内存。此漏洞已在 2.2.19、2.4.12、2.6.14 和 2.8.2 版本中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
整数溢出或超界折返
来源:AIGC 神龙大模型
漏洞标题
RedisBloom Integer Overflow Remote Code Execution Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
RedisBloom adds a set of probabilistic data structures to Redis. There is an integer overflow vulnerability in RedisBloom, which is a module used in Redis. The integer overflow vulnerability allows an attacker (a redis client which knows the password) to allocate memory in the heap lesser than the required memory due to wraparound. Then read and write can be performed beyond this allocated memory, leading to info leak and OOB write. The integer overflow is in CMS.INITBYDIM command, which initialize a Count-Min Sketch to dimensions specified by user. It accepts two values (width and depth) and uses them to allocate memory in NewCMSketch(). This vulnerability is fixed in 2.2.19, 2.4.12, 2.6.14, and 2.8.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
整数溢出或超界折返
来源:美国国家漏洞数据库 NVD
漏洞标题
RedisBloom 输入验证错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
RedisBloom是RedisBloom开源的一个库。为 Redis 添加了一组概率数据结构。 RedisBloom存在输入验证错误漏洞,该漏洞源于存在整数溢出漏洞,允许攻击者在堆中分配小于所需内存的内存,然后可以超出分配的内存执行读写操作,导致信息泄露和越界写入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-55656 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-55656 的情报信息