CVE-2026-25243: RCE in Redis 8.6.3
प्लेटफ़ॉर्म
redis
घटक
redis
में ठीक किया गया
8.6.3
Redis एक इन-मेमोरी डेटा स्ट्रक्चर स्टोर है। CVE-2026-25243 Redis के संस्करण 1.0.0 से 8.6.3 तक RESTORE कमांड में रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता का खुलासा करता है। एक प्रमाणित हमलावर, RESTORE कमांड को निष्पादित करने की अनुमति के साथ, एक तैयार सीरियल किए गए पेलोड के माध्यम से असुरक्षित मेमोरी एक्सेस को ट्रिगर कर सकता है, जिससे रिमोट कोड एग्जीक्यूशन हो सकता है। इस भेद्यता को Redis संस्करण 8.6.3 में ठीक किया गया है।
प्रभाव और हमले की स्थितियाँ
यह भेद्यता हमलावरों को Redis सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से डेटा चोरी, सिस्टम समझौता और आगे की दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। हमलावर Redis सर्वर पर नियंत्रण प्राप्त कर सकता है, संवेदनशील डेटा तक पहुंच सकता है, और अन्य सिस्टम पर हमला करने के लिए इसका उपयोग कर सकता है। चूंकि Redis अक्सर कैशिंग और सत्र प्रबंधन के लिए उपयोग किया जाता है, इसलिए इस भेद्यता का शोषण करने से एप्लिकेशन और अंतर्निहित बुनियादी ढांचे पर व्यापक प्रभाव पड़ सकता है। यह भेद्यता लॉग4शेल जैसे अन्य RCE भेद्यताओं के समान है, जहां एक तैयार इनपुट का उपयोग करके हमलावर सर्वर पर नियंत्रण प्राप्त कर सकता है।
शोषण संदर्भ
CVE-2026-25243 को अभी तक KEV (Know Exploited Vulnerability) के रूप में सूचीबद्ध नहीं किया गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना मध्यम है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हैं, जो भेद्यता के शोषण की संभावना को और बढ़ाते हैं। CISA ने 2026-05-05 को इस भेद्यता के बारे में एक सलाहकार जारी किया है। सक्रिय अभियान की जानकारी अभी तक उपलब्ध नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण होने की संभावना है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.09% (26% शतमक)
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
Redis संस्करण 8.6.3 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड तत्काल संभव नहीं है, तो ACL नियमों के साथ RESTORE कमांड तक पहुंच को प्रतिबंधित करने के लिए एक कार्य-इन-प्लेस समाधान लागू किया जा सकता है। यह हमलावरों को असुरक्षित पेलोड के साथ RESTORE कमांड का उपयोग करने से रोकेगा। इसके अतिरिक्त, Redis सर्वर को नेटवर्क से अलग करने या केवल विश्वसनीय स्रोतों से कनेक्शन की अनुमति देने पर विचार करें। अपग्रेड के बाद, यह सत्यापित करें कि RESTORE कमांड तक पहुंच ACL नियमों द्वारा प्रतिबंधित है और भेद्यता अब मौजूद नहीं है।
कैसे ठीक करेंअनुवाद हो रहा है…
Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad. Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.
अक्सर पूछे जाने वाले सवाल
CVE-2026-25243 — RCE Redis 8.6.3 में क्या है?
CVE-2026-25243 Redis के संस्करण 1.0.0 से 8.6.3 तक RESTORE कमांड में रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह हमलावरों को असुरक्षित मेमोरी एक्सेस के माध्यम से कोड निष्पादित करने की अनुमति देता है।
क्या मैं CVE-2026-25243 में Redis 8.6.3 से प्रभावित हूं?
यदि आप Redis के संस्करण 1.0.0 से 8.6.3 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं CVE-2026-25243 में Redis 8.6.3 को कैसे ठीक करूं?
इस भेद्यता को ठीक करने के लिए Redis संस्करण 8.6.3 में अपग्रेड करें। यदि अपग्रेड तत्काल संभव नहीं है, तो ACL नियमों के साथ RESTORE कमांड तक पहुंच को प्रतिबंधित करें।
क्या CVE-2026-25243 सक्रिय रूप से शोषण किया जा रहा है?
हालांकि सक्रिय अभियान की जानकारी अभी तक उपलब्ध नहीं है, सार्वजनिक रूप से उपलब्ध POC मौजूद हैं, जो शोषण की संभावना को बढ़ाते हैं।
CVE-2026-25243 के लिए आधिकारिक Redis सलाहकार कहां मिल सकता है?
आप आधिकारिक Redis सलाहकार को Redis वेबसाइट पर पा सकते हैं: [Redis Advisory URL - Replace with actual URL when available]
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...