كشفت شركة JFrog عن ثغرة أمنية عالية الخطورة في قاعدة البيانات الشهيرة Redis، تم تسجيلها تحت الرمز CVE-2025-62507 بدرجة خطورة 8.8 وفقاً لمقياس CVSS. الثغرة مرتبطة بالأمر الجديد XACKDEL الذي ظهر في الإصدار 8.2 لتبسيط تنظيف التدفقات. تكمن المشكلة في دالة xackdelCommand() المسؤولة عن معالجة قائمة معرفات الرسائل، حيث لم يتم التحقق من عدد المعرفات المرسلة مقارنة بحجم المصفوفة المخصصة على المكدس. هذا الخلل يؤدي إلى تجاوز حدود الذاكرة (Stack Buffer Overflow)، وهو ما يفتح الباب أمام تنفيذ أوامر عن بُعد.
خطورة الاستغلال وإمكانية الوصول
يمكن استغلال الثغرة عن بُعد في الإعداد الافتراضي لـ Redis بمجرد إرسال أمر XACKDEL يحتوي على عدد كبير من معرفات الرسائل. الأخطر أن Redis لا يفرض مصادقة بشكل افتراضي، ما يجعل الهجوم قابلاً للتنفيذ دون الحاجة إلى بيانات دخول، وهو ما يضاعف المخاطر الأمنية. حتى لحظة الإعلان، هناك ما يقرب من 2,924 خادماً معرضاً للاستغلال حول العالم.
الإصلاح والتحديثات المتاحة
تم إصلاح الثغرة في الإصدار 8.3.2 من Redis، ما يجعل التحديث الفوري ضرورة قصوى للمؤسسات التي تعتمد على هذه القاعدة. ينصح الخبراء أيضاً بتفعيل آليات المصادقة وتقييد الوصول إلى الخوادم، لتقليل فرص الاستغلال حتى بعد التحديث.
خلفيات تقنية وسياق أوسع
تُعد هذه الثغرة مثالاً كلاسيكياً على مشاكل إدارة الذاكرة في البرمجيات، حيث يؤدي غياب التحقق من حدود المصفوفات إلى تجاوزات خطيرة. مثل هذه الأخطاء شائعة في لغات البرمجة منخفضة المستوى، لكنها تكتسب خطورة مضاعفة عند وجودها في أنظمة واسعة الاستخدام مثل Redis، التي تعتمد عليها آلاف الشركات في إدارة البيانات الفورية والتدفقات.
