CVE-2024-55656

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-55656
RedisBloom adds a set of probabilistic data structures to Redis. There is an integer overflow vulnerability in RedisBloom, which is a module used in Redis. The integer overflow vulnerability allows an attacker (a redis client which knows the password) to allocate memory in the heap lesser than the required memory due to wraparound. Then read and write can be performed beyond this allocated memory, leading to info leak and OOB write. The integer overflow is in CMS.INITBYDIM command, which initialize a Count-Min Sketch to dimensions specified by user. It accepts two values (width and depth) and uses them to allocate memory in NewCMSketch(). This vulnerability is fixed in 2.2.19, 2.4.12, 2.6.14, and 2.8.2.

8.8 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/RedisBloom/RedisBloom/security/advisories/GHSA-x5rx-rmq3-ff3h
Configurations

No configuration.

History

15 Apr 2026, 00:35

Type Values Removed Values Added
Summary
  • (es) RedisBloom agrega un conjunto de estructuras de datos probabilísticas a Redis. Existe una vulnerabilidad de desbordamiento de enteros en RedisBloom, que es un módulo utilizado en Redis. La vulnerabilidad de desbordamiento de enteros permite a un atacante (un cliente de Redis que conoce la contraseña) asignar memoria en el montón menor que la memoria requerida debido al envoltorio. Luego, se pueden realizar operaciones de lectura y escritura más allá de esta memoria asignada, lo que genera una fuga de información y una escritura OOB. El desbordamiento de enteros se encuentra en el comando CMS.INITBYDIM, que inicializa un Count-Min Sketch con las dimensiones especificadas por el usuario. Acepta dos valores (ancho y profundidad) y los utiliza para asignar memoria en NewCMSketch(). Esta vulnerabilidad se corrigió en 2.2.19, 2.4.12, 2.6.14 y 2.8.2.

08 Jan 2025, 16:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-01-08 16:15

Updated : 2026-04-15 00:35

NVD link : CVE-2024-55656

Mitre link : CVE-2024-55656

CVE.ORG link : CVE-2024-55656

JSON object : View

Products Affected

No product.

CWE
CWE-190

Integer Overflow or Wraparound