विश्लेषण प्रतीक्षितCVE-2026-23631

CVE-2026-23631: RCE in Redis 8.6.3

Q: CVE-2026-23631 — RCE Redis 8.6.3 में क्या है?

CVE-2026-23631 Redis में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो मास्टर-रेप्लीका सिंक्रोनाइज़ेशन तंत्र का शोषण करके रेप्लीका पर उपयोग-बाद-मुक्त (use-after-free) को ट्रिगर कर सकती है।

Q: क्या मैं CVE-2026-23631 में Redis 8.6.3 से प्रभावित हूं?

यदि आप Redis के संस्करण 0.0.0 से कम 8.6.3 का उपयोग कर रहे हैं और Lua स्क्रिप्टिंग सक्षम है, तो आप प्रभावित हैं।

Q: मैं CVE-2026-23631 में Redis 8.6.3 को कैसे ठीक करूं?

Redis संस्करण 8.6.3 या उच्चतर में अपग्रेड करें। वैकल्पिक रूप से, Lua स्क्रिप्ट के निष्पादन को अक्षम करें या रेप्लीका सर्वर पर `replica-read-only` सक्षम करें।

Q: क्या CVE-2026-23631 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध POC नहीं हैं, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जाना संभव है।

Q: मैं CVE-2026-23631 के लिए आधिकारिक Redis सलाहकार कहां पा सकता हूं?

Redis सुरक्षा सलाहकार के लिए आधिकारिक Redis वेबसाइट देखें: [https://redis.io/docs/security/](https://redis.io/docs/security/)

प्लेटफ़ॉर्म

redis

घटक

redis

में ठीक किया गया

8.6.3

NVD पर देखें

सहेजें

Redis एक इन-मेमोरी डेटा स्ट्रक्चर स्टोर है। CVE-2026-23631 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो Redis के सभी संस्करणों को प्रभावित करती है जहां Lua स्क्रिप्टिंग का उपयोग किया जाता है। यह भेद्यता मास्टर-रेप्लीका सिंक्रोनाइज़ेशन तंत्र के माध्यम से रेप्लीका पर उपयोग-बाद-मुक्त (use-after-free) को ट्रिगर करने की अनुमति देती है, जिससे हमलावर रिमोट कोड एग्जीक्यूट कर सकते हैं। प्रभावित संस्करण 0.0.0 से कम 8.6.3 हैं। इस भेद्यता को Redis संस्करण 8.6.3 में ठीक किया गया है।

प्रभाव और हमले की स्थितियाँ

CVE-2026-23631 का शोषण करने वाला हमलावर Redis सर्वर पर मनमाना कोड एग्जीक्यूट कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना, रेप्लीका सर्वर पर भी शोषण किया जा सकता है यदि replica-read-only अक्षम है। एक सफल शोषण के परिणामस्वरूप डेटा चोरी, सिस्टम समझौता, और संभावित रूप से अन्य सिस्टम पर पार्श्व गति (lateral movement) हो सकती है। यह भेद्यता Redis के उपयोग पर निर्भर अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम पैदा करती है, खासकर उन वातावरणों में जहां Lua स्क्रिप्टिंग का व्यापक रूप से उपयोग किया जाता है और रेप्लीका सर्वर की सुरक्षा पर पर्याप्त ध्यान नहीं दिया जाता है। इस भेद्यता का शोषण लॉग4शेल जैसी अन्य भेद्यताओं के समान पैटर्न का पालन कर सकता है, जहां एक जटिल तंत्र का उपयोग करके मनमाना कोड एग्जीक्यूट किया जाता है।

शोषण संदर्भ

CVE-2026-23631 को अभी तक KEV (Known Exploited Vulnerabilities) में सूचीबद्ध नहीं किया गया है। EPSS (Exploit Prediction Score System) स्कोर अभी तक उपलब्ध नहीं है, इसलिए भेद्यता के शोषण की संभावना का मूल्यांकन करना मुश्किल है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक नहीं देखे गए हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जाना संभव है। CISA ने इस भेद्यता के बारे में कोई चेतावनी जारी नहीं की है। इस भेद्यता को गंभीरता से लेना और उचित शमन उपाय लागू करना महत्वपूर्ण है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

NextGuard10–15% अभी भी असुरक्षित

EPSS

0.08% (23% शतमक)

प्रभावित सॉफ्टवेयर

घटकredis

विक्रेताredis

न्यूनतम संस्करण0.0.0

अधिकतम संस्करण< 8.6.3

में ठीक किया गया8.6.3

कमजोरी वर्गीकरण (CWE)

CWE-416

समयरेखा

प्रकाशित2026-05-05
संशोधित2026-05-06
EPSS अद्यतन2026-05-13

शमन और वर्कअराउंड

CVE-2026-23631 के प्रभाव को कम करने के लिए, Redis संस्करण 8.6.3 या उच्चतर में अपग्रेड करना सबसे प्रभावी उपाय है। यदि तत्काल अपग्रेड संभव नहीं है, तो Lua स्क्रिप्ट के निष्पादन को रोकने के लिए Redis कॉन्फ़िगरेशन को संशोधित किया जा सकता है। यह script-disabled no विकल्प सेट करके किया जा सकता है। वैकल्पिक रूप से, रेप्लीका सर्वर पर replica-read-only yes विकल्प को सक्षम करके रेप्लीका सर्वर पर भेद्यता को कम किया जा सकता है। यह सुनिश्चित करें कि सभी Redis इंस्टेंस नवीनतम सुरक्षा पैच के साथ अपडेट किए गए हैं। अपग्रेड के बाद, यह सत्यापित करें कि Lua स्क्रिप्ट निष्पादन अक्षम है या रेप्लीका-रीड-ओनली सक्षम है, redis-cli config get script-disabled और redis-cli config get replica-read-only कमांड का उपयोग करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.

अक्सर पूछे जाने वाले सवाल

CVE-2026-23631 — RCE Redis 8.6.3 में क्या है?

CVE-2026-23631 Redis में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो मास्टर-रेप्लीका सिंक्रोनाइज़ेशन तंत्र का शोषण करके रेप्लीका पर उपयोग-बाद-मुक्त (use-after-free) को ट्रिगर कर सकती है।

क्या मैं CVE-2026-23631 में Redis 8.6.3 से प्रभावित हूं?

यदि आप Redis के संस्करण 0.0.0 से कम 8.6.3 का उपयोग कर रहे हैं और Lua स्क्रिप्टिंग सक्षम है, तो आप प्रभावित हैं।

मैं CVE-2026-23631 में Redis 8.6.3 को कैसे ठीक करूं?

Redis संस्करण 8.6.3 या उच्चतर में अपग्रेड करें। वैकल्पिक रूप से, Lua स्क्रिप्ट के निष्पादन को अक्षम करें या रेप्लीका सर्वर पर replica-read-only सक्षम करें।

क्या CVE-2026-23631 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध POC नहीं हैं, भेद्यता की प्रकृति को देखते हुए, इसका शोषण किया जाना संभव है।

मैं CVE-2026-23631 के लिए आधिकारिक Redis सलाहकार कहां पा सकता हूं?

Redis सुरक्षा सलाहकार के लिए आधिकारिक Redis वेबसाइट देखें: [https://redis.io/docs/security/](https://redis.io/docs/security/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें

liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...

फ़ाइलें ब्राउज़ करें