CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2024-25116 – Specially crafted CF.RESERVE command can lead to denial-of-service
https://notcve.org/view.php?id=CVE-2024-25116
RedisBloom adds a set of probabilistic data structures to Redis. Starting in version 2.0.0 and prior to version 2.4.7 and 2.6.10, authenticated users can use the `CF.RESERVE` command to trigger a runtime assertion and termination of the Redis server process. The problem is fixed in RedisBloom 2.4.7 and 2.6.10. RedisBloom agrega un conjunto de estructuras de datos probabilísticos a Redis. A partir de la versión 2.0.0 y anteriores a la versión 2.4.7 y 2.6.10, los usuarios autenticados pueden usar el comando `CF.RESERVE` para activar una aserción en tiempo de ejecución y la finalización del proceso del servidor Redis. • https://github.com/RedisBloom/RedisBloom/commit/61d980a429050637f1af9fe919a880800a824f2a https://github.com/RedisBloom/RedisBloom/security/advisories/GHSA-wrwq-cfrx-pmg4 • CWE-20: Improper Input Validation •
CVSS: 7.0EPSS: 0%CPEs: 2EXPL: 0CVE-2024-25115 – RedisBloom heap buffer overflow in CF.LOADCHUNK command
https://notcve.org/view.php?id=CVE-2024-25115
RedisBloom adds a set of probabilistic data structures to Redis. Starting in version 2.0.0 and prior to version 2.4.7 and 2.6.10, specially crafted `CF.LOADCHUNK` commands may be used by authenticated users to perform heap overflow, which may lead to remote code execution. The problem is fixed in RedisBloom 2.4.7 and 2.6.10. RedisBloom agrega un conjunto de estructuras de datos probabilísticos a Redis. A partir de la versión 2.0.0 y anteriores a las versiones 2.4.7 y 2.6.10, los usuarios autenticados pueden utilizar comandos `CF.LOADCHUNK` especialmente manipulados para realizar un desbordamiento del montón, lo que puede provocar la ejecución remota de código. • https://github.com/RedisBloom/RedisBloom/commit/2f3b38394515fc6c9b130679bcd2435a796a49ad https://github.com/RedisBloom/RedisBloom/security/advisories/GHSA-w583-p2wh-4vj5 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') CWE-122: Heap-based Buffer Overflow •