Katalog CVE

CVE-2026-47206

NiskieCVSS 2.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w Dragonfly przed wersją 1.39.9 umożliwia wstrzyknięcie protokołu RESP przez funkcję redis.error_reply() w Lua w EvalSerializer. Uwierzytelniony użytkownik może wstrzyknąć dowolne komunikaty RESP do strumienia odpowiedzi połączenia, co może prowadzić do desynchronizacji odpowiedzi w klientach korzystających z puli połączeń.

Ocena ryzyka

Ryzyko polega na możliwości desynchronizacji odpowiedzi w klientach używających puli połączeń, co może skutkować błędnym przetwarzaniem danych lub atakami typu man-in-the-middle na poziomie protokołu.

Rekomendacja

Zaleca się natychmiastową aktualizację Dragonfly do wersji 1.39.9 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Dragonfly is an in-memory data store built for modern application workloads. Prior to 1.39.9, Dragonfly has a RESP Protocol Injection via Lua redis.error_reply() in EvalSerializer. An authenticated user can inject arbitrary RESP messages into the connection's response stream, potentially causing response desynchronization in connection-pool clients. This vulnerability is fixed in 1.39.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS