CVE-2026-23479: RCE in Redis 7.2.0 - 8.6.3
प्लेटफ़ॉर्म
redis
घटक
redis
में ठीक किया गया
8.6.3
CVE-2026-23479 is a Remote Code Execution (RCE) vulnerability affecting Redis versions 7.2.0 through 8.6.2. This flaw arises from an improper error handling mechanism within the unblock client flow, allowing an authenticated attacker to trigger a use-after-free condition. The vulnerability has been patched in Redis version 8.6.3, and users are strongly advised to upgrade.
प्रभाव और हमले की स्थितियाँ
Redis में CVE-2026-23479, 7.2.0 से 8.6.3 तक के संस्करणों को प्रभावित करता है। यह एक उपयोग-बाद-मुक्ति (use-after-free) भेद्यता है जिसका उपयोग प्रमाणित हमलावर दूरस्थ कोड निष्पादन प्राप्त करने के लिए कर सकता है। समस्या Redis द्वारा अनब्लॉक क्लाइंट प्रवाह को कैसे संभाला जाता है इसमें निहित है। विशेष रूप से, जब एक अवरुद्ध कमांड को फिर से निष्पादित किया जाता है, तो processCommandAndResetClient से त्रुटि रिटर्न को सही ढंग से संसाधित नहीं किया जाता है। यदि इस प्रवाह के दौरान एक अवरुद्ध क्लाइंट को हटा दिया जाता है, तो एक उपयोग-बाद-मुक्ति स्थिति उत्पन्न होती है, जिससे Redis सर्वर पर दुर्भावनापूर्ण कोड निष्पादित होने की संभावना है। इस भेद्यता की गंभीरता उच्च है क्योंकि दूरस्थ सिस्टम समझौता करने की संभावना है।
शोषण संदर्भ
Redis सर्वर तक पहुंच रखने वाला प्रमाणित हमलावर इस भेद्यता का फायदा उठा सकता है। हमलावर को क्लाइंट को ब्लॉक करने वाले कमांड भेजने में सक्षम होना चाहिए और फिर, अनब्लॉक प्रक्रिया के दौरान, क्लाइंट को हटाने को ट्रिगर करना चाहिए। यह अवरुद्ध कमांड और सिस्टम लोड के अत्यधिक संयोजन के माध्यम से प्राप्त किया जा सकता है जो क्लाइंट को हटाने के लिए मजबूर करता है। शोषण की जटिलता Redis सर्वर कॉन्फ़िगरेशन और हमलावर की सर्वर स्थिति में हेरफेर करने की क्षमता पर निर्भर करती है। सफल शोषण हमलावर को सर्वर पर मनमाना कोड निष्पादित करने की अनुमति दे सकता है, जिससे Redis में संग्रहीत डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता किया जा सकता है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.10% (28% शतमक)
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2026-23479 के लिए अनुशंसित शमन Redis संस्करण 8.6.3 या उच्चतर में अपग्रेड करना है। इस संस्करण में उपयोग-बाद-मुक्ति दोष को संबोधित करने वाला एक फिक्स शामिल है। यदि तत्काल अपग्रेड संभव नहीं है, तो Redis सुरक्षा दिशानिर्देशों की समीक्षा करें और किसी भी अतिरिक्त सुरक्षा कॉन्फ़िगरेशन को लागू करें जो शोषण के जोखिम को कम करने में मदद कर सके। Redis लॉग की नियमित रूप से निगरानी करें और सुनिश्चित करें कि केवल प्रमाणित क्लाइंट को सर्वर तक पहुंच प्राप्त है। संभावित कमजोरियों की पहचान और समाधान के लिए नियमित सुरक्षा ऑडिट भी एक अच्छी प्रथा है।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice su servidor Redis a la versión 8.6.3 o posterior para mitigar la vulnerabilidad de uso después de liberar. Esta actualización corrige el manejo de errores en el flujo de desbloqueo de clientes, previniendo la posible ejecución remota de código.
अक्सर पूछे जाने वाले सवाल
CVE-2026-23479 क्या है — Redis में Remote Code Execution (RCE)?
Redis के 7.2.0 से 8.6.3 तक के संस्करण CVE-2026-23479 के प्रति कमजोर हैं।
क्या मैं Redis में CVE-2026-23479 से प्रभावित हूं?
आप कमांड redis-cli info server चलाकर और version पंक्ति की तलाश करके Redis संस्करण की जांच कर सकते हैं।
Redis में CVE-2026-23479 को कैसे ठीक करें?
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो Redis सुरक्षा दिशानिर्देशों की समीक्षा करें और जोखिम को कम करने के लिए अतिरिक्त सुरक्षा कॉन्फ़िगरेशन लागू करें।
क्या CVE-2026-23479 का सक्रिय रूप से शोषण किया जा रहा है?
इस भेद्यता का फायदा उठाने के लिए हमलावर को Redis सर्वर तक प्रमाणित पहुंच की आवश्यकता है।
CVE-2026-23479 के लिए Redis का आधिकारिक सुरक्षा सलाह कहां मिलेगी?
इसका मतलब है कि एक प्रोग्राम पहले ही जारी किए जा चुके मेमोरी तक पहुंचने का प्रयास करता है, जिससे क्रैश हो सकता है या दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति मिल सकती है।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...