2023年03月24日,公开了redis-py条件竞争漏洞,漏洞编号为CVE-2023-28858,漏洞等级:高危
一、漏洞介绍
Redis 客户端开源库 redis-py 存在信息泄露漏洞,使用 Asyncio 时,如果在发送命令之后但在接收和解析响应之前取消请求将会造成链接损坏,后续同一连接上的操作请求将会接收到上一个已取消命令的响应,这可能会导致信息泄露。
风险等级:高风险。
二、漏洞影响
影响范围:redis-py 4.3.* < 4.3.6,redis-py 4.4.* < 4.4.3,redis-py 4.5.* < 4.5.3
三、修复建议
建议更新当前系统或软件至最新版,完成漏洞的修复。
