-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Redis
Advisory ID     : NCSC-2025-0304
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2025-46817, CVE-2025-46818, CVE-2025-46819,
                  CVE-2025-49844
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Use After Free
                  Integer Overflow or Wraparound
                  Improper Control of Generation of Code ('Code
                  Injection')
Uitgiftedatum   : 20251008
Toepassing      : Open Source Redis
                  Redis Redis
Versie(s)       :
Platform(s)     :

Beschrijving
   Redis heeft kwetsbaarheden verholpen in versies 8.2.1 en lager.

   De kwetsbaarheden bevinden zich in de Lua-scriptingengine van Redis,
   die kunnen worden misbruikt door geauthenticeerde gebruikers. Dit kan
   leiden tot remote code execution, out-of-bounds data access of
   servercrashes. De kwetsbaarheden kunnen de integriteit en beveiliging
   van systemen die deze versies gebruiken in gevaar brengen. De
   kwetsbaarheden zijn opgelost in versie 8.2.2.
   Veel Redis‑implementaties hebben geen pre‑authenticatie of
   ACL‑gebaseerde autorisatie ingeschakeld; dit vergroot het risico op
   exploitatie.
   Onderzoekers hebben Proof of Concept (PoC) code vrijgegeven die
   kwetsbaarheid CVE-2025-49844 aantoont en waarmee de kwetsbaarheid kan
   worden misbruikt.

Mogelijke oplossingen
   Redis heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
   Zie bijgevoegde referenties voor meer informatie.

   Referenties:
      Reference
      https://github.com/redis/redis/releases/tag/8.2.2

      Reference
      https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-
      5f9q

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
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=zIU+
-----END PGP SIGNATURE-----