Apache Kvrocks zawiera podatność typu heap buffer overflow (CWE-122) w bibliotece cjson używanej przez silnik skryptów Lua w Redis. Podatność otrzymała maksymalny wynik CVSS 10.0, co wskazuje na możliwość całkowitego przejęcia kontroli nad systemem bez żadnego uwierzytelnienia.
▸ Pokaż oryginał (EN)
Redis Lua HEAP overflow in cjson library vulnerability in Apache Kvrocks. This issue affects Apache Kvrocks: from 2.0.4 through 2.15.0. Users are recommended to upgrade to version 2.16.0, which fixes the issue.
Błąd polega na przepełnieniu bufora na stercie (heap buffer overflow) w bibliotece cjson, która jest wykorzystywana do obsługi formatu JSON w skryptach Lua wbudowanych w Apache Kvrocks. Atakujący może wysłać specjalnie spreparowane dane wejściowe powodujące zapis poza granicami przydzielonego bufora na stercie. Może to prowadzić do uszkodzenia pamięci procesu i potencjalnie do wykonania arbitralnego kodu.
Atakujący zdalny, nieuwierzytelniony może doprowadzić do wykonania dowolnego kodu na serwerze (RCE), a także do naruszenia poufności, integralności i dostępności zarówno atakowanego systemu, jak i systemów z nim powiązanych.
Należy jak najszybciej zaktualizować Apache Kvrocks do wersji 2.16.0, która naprawia opisaną podatność. Szczegóły dostępne w referencjach producenta.
Apache Kvrocks w wersjach od 2.0.4 do 2.15.0 włącznie.
Podatność została ujawniona publicznie w dniu 2026-06-25, szczegóły opublikowano na liście mailingowej Apache oraz oss-security. Brak informacji o publicznym exploicie lub aktywnym wykorzystaniu w środowiskach produkcyjnych.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X