CVE-2026-23631: RCE in Redis 8.6.3 et versions antérieures
Plateforme
redis
Composant
redis
Corrigé dans
8.6.3
La vulnérabilité CVE-2026-23631 affecte Redis, un magasin de structures de données en mémoire, dans les versions antérieures à 8.6.3. Elle permet à un attaquant authentifié d'exploiter le mécanisme de synchronisation maître-réplique via l'exécution de scripts Lua, conduisant potentiellement à une utilisation après libération (use-after-free) sur les répliques où l'option replica-read-only est désactivée ou peut l'être. La mise à jour vers la version 8.6.3 corrige cette faille.
Impact et Scénarios d'Attaque
Cette vulnérabilité permet à un attaquant authentifié d'exécuter du code arbitraire sur les serveurs Redis répliques. L'exploitation se fait en manipulant les scripts Lua exécutés sur le serveur maître, ce qui entraîne une condition de use-after-free sur les répliques. Un attaquant pourrait compromettre les données stockées dans Redis, modifier les configurations du serveur, ou même utiliser le serveur compromis comme point de pivot pour se déplacer latéralement au sein du réseau. Bien que la vulnérabilité nécessite une authentification, elle représente un risque significatif pour les environnements où l'accès aux scripts Lua est mal contrôlé ou où les configurations par défaut des répliques ne sont pas sécurisées. L'impact potentiel est similaire à celui d'autres vulnérabilités RCE, avec la possibilité d'une compromission complète du système.
Contexte d'Exploitation
La vulnérabilité CVE-2026-23631 a été publiée le 5 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne, compte tenu de la nécessité d'une authentification et de la complexité potentielle de l'exploitation. Il n'y a pas d'indication d'une présence sur KEV (Known Exploited Vulnerabilities) à ce jour. Aucun proof-of-concept (POC) public n'est actuellement disponible, mais la nature de la vulnérabilité (RCE via Lua) suggère qu'un tel POC pourrait être développé. Consultez le NVD (National Vulnerability Database) et les alertes CISA (Cybersecurity and Infrastructure Security Agency) pour les mises à jour.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour Redis vers la version 8.6.3 ou supérieure. Si la mise à jour n'est pas immédiatement possible, plusieurs mesures temporaires peuvent être prises. La première consiste à empêcher les utilisateurs d'exécuter des scripts Lua sur le serveur Redis. Cela peut être fait en désactivant l'exécution de scripts Lua via la configuration de Redis. Alternativement, si les répliques sont utilisées, assurez-vous que l'option replica-read-only est activée. En cas de rollback après une mise à jour problématique, restaurez une sauvegarde valide et appliquez les mesures de mitigation temporaires jusqu'à ce que la mise à jour puisse être effectuée avec succès. Vérifiez après la mise à jour que l'exécution des scripts Lua est désactivée ou que replica-read-only est activé, et testez la fonctionnalité Redis pour vous assurer qu'elle fonctionne comme prévu.
Comment corrigertraduction en cours…
Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.
Questions fréquentes
Que signifie CVE-2026-23631 — RCE dans Redis ?
CVE-2026-23631 décrit une vulnérabilité d'exécution de code à distance (RCE) dans Redis, permettant à un attaquant authentifié d'exécuter du code arbitraire sur le serveur.
Suis-je affecté par CVE-2026-23631 dans Redis ?
Vous êtes affecté si vous utilisez Redis dans les versions 0.0.0 - < 8.6.3 et que vous avez activé l'exécution de scripts Lua sans activer replica-read-only sur les répliques.
Comment corriger CVE-2026-23631 dans Redis ?
La correction consiste à mettre à jour Redis vers la version 8.6.3 ou supérieure. En attendant, désactivez l'exécution de scripts Lua ou activez replica-read-only sur les répliques.
CVE-2026-23631 est-il activement exploité ?
À ce jour, il n'y a pas d'indications d'exploitation active, mais la vulnérabilité est sérieuse et pourrait être exploitée à l'avenir.
Où puis-je trouver l'avis officiel de Redis pour CVE-2026-23631 ?
Consultez le site web de Redis et le NVD (National Vulnerability Database) pour l'avis officiel et les informations complémentaires.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...