CVE-2026-23631: RCE en Redis 0.0.0–8.6.3
Plataforma
redis
Componente
redis
Corregido en
8.6.3
La vulnerabilidad CVE-2026-23631 es una falla de Ejecución Remota de Código (RCE) que afecta a Redis, un almacén de estructuras de datos en memoria. Esta vulnerabilidad permite a un atacante autenticado explotar el mecanismo de sincronización maestro-réplica para provocar un error de 'uso después de liberar' en las réplicas, especialmente cuando la opción 'replica-read-only' está deshabilitada. La vulnerabilidad afecta a todas las versiones de redis-server con scripting Lua desde 0.0.0 hasta la versión 8.6.3; la solución es actualizar a la versión 8.6.3.
Impacto y Escenarios de Ataque
Un atacante que explote con éxito esta vulnerabilidad podría ejecutar código arbitrario en las réplicas de Redis. Esto podría resultar en la toma de control completa del servidor, el robo de datos confidenciales almacenados en la base de datos Redis, o el uso del servidor como punto de apoyo para ataques a otros sistemas en la red. El impacto es particularmente grave en entornos donde las réplicas se utilizan para la alta disponibilidad o la recuperación ante desastres, ya que la vulnerabilidad podría comprometer la integridad de los datos replicados. La capacidad de ejecutar código arbitrario permite a un atacante escalar privilegios y potencialmente acceder a información sensible o interrumpir las operaciones del sistema.
Contexto de Explotación
La vulnerabilidad CVE-2026-23631 fue publicada el 5 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación y el conocimiento de la vulnerabilidad. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de la descripción técnica de la vulnerabilidad aumenta el riesgo de que se desarrolle y utilice un exploit. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.08% (23% percentil)
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-23631 es actualizar a la versión 8.6.3 de Redis. Si la actualización inmediata no es posible, se recomienda implementar una solución alternativa para evitar la ejecución de scripts Lua en el servidor Redis. Esto se puede lograr deshabilitando la ejecución de scripts Lua a través de la configuración de Redis. Otra opción es deshabilitar las réplicas donde 'replica-read-only' no esté habilitado. Si se utiliza un firewall de aplicaciones web (WAF) o un proxy inverso, se pueden configurar reglas para bloquear el tráfico malicioso que intente explotar la vulnerabilidad. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que la opción de scripting Lua esté deshabilitada o que se esté utilizando la versión 8.6.3 o superior.
Cómo corregirlotraduciendo…
Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.
Preguntas frecuentes
What is CVE-2026-23631 — RCE en Redis 0.0.0–8.6.3?
CVE-2026-23631 es una vulnerabilidad de Ejecución Remota de Código (RCE) en Redis que permite a un atacante autenticado ejecutar código arbitrario en las réplicas. Afecta versiones desde 0.0.0 hasta 8.6.3.
Am I affected by CVE-2026-23631 in Redis 0.0.0–8.6.3?
Si está utilizando Redis en una versión entre 0.0.0 y 8.6.3, y permite la ejecución de scripts Lua o tiene réplicas sin 'replica-read-only' habilitado, es probable que esté afectado.
How do I fix CVE-2026-23631 in Redis 0.0.0–8.6.3?
La solución es actualizar a la versión 8.6.3 de Redis. Como alternativa, deshabilitar la ejecución de scripts Lua o deshabilitar las réplicas sin 'replica-read-only' habilitado.
Is CVE-2026-23631 being actively exploited?
Actualmente no se han reportado campañas de explotación activas, pero la vulnerabilidad es crítica y podría ser explotada en el futuro.
Where can I find the official Redis advisory for CVE-2026-23631?
Consulte el sitio web oficial de Redis y las fuentes de seguridad para obtener la última información y las notas de la versión: [https://redis.io/](https://redis.io/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...