Redis is an in-memory data structure store. In all versions of redis-server with Lua scripting, an authenticated attacker can exploit the master-replica synchronization mechanism to trigger a use-after-free on replicas where replica-read-only is disabled or can be disabled, which may lead to remote code execution. A workaround is to prevent users from executing Lua scripts or avoid using replicas where replica-read-only is disabled. This is patched in version 8.6.3.
Redis versions with Lua scripting contain a use-after-free vulnerability in master-replica synchronization that allows authenticated attackers to execute remote code on replicas with disabled read-only mode. The vulnerability affects all versions prior to 8.6.3 and requires authentication to exploit.
تؤثر هذه الثغرة على جميع إصدارات Redis التي تدعم نصوص Lua حيث يمكن لمهاجم مصرح له استغلال آلية المزامنة بين الخادم الرئيسي والنسخ المتماثلة. الاستغلال يتطلب تعطيل أو عدم تفعيل وضع replica-read-only مما قد يؤدي إلى تنفيذ أكواد بعيدة.
إصدارات Redis التي تحتوي على نصوص Lua تحتوي على ثغرة استخدام بعد التحرير في آلية المزامنة بين الرئيسي والنسخة المتماثلة. يمكن للمهاجمين المصرح لهم تنفيذ أكواد بعيدة على النسخ المتماثلة مع تعطيل وضع القراءة فقط.
Upgrade Redis to version 8.6.3 or later immediately. If immediate patching is not possible, disable Lua script execution or ensure replica-read-only mode is enabled on all replica instances. Restrict authentication credentials and monitor replica synchronization activities.
قم بترقية Redis إلى الإصدار 8.6.3 أو أحدث فوراً. إذا لم يكن الترقية ممكنة، قم بتعطيل تنفيذ نصوص Lua أو تفعيل وضع القراءة فقط على جميع النسخ المتماثلة. قيد بيانات المصادقة وراقب أنشطة مزامنة النسخ المتماثلة.