CVE-2026-23631: RCE in Redis 8.6.3 and Earlier
प्लेटफ़ॉर्म
redis
घटक
redis
में ठीक किया गया
8.6.3
This vulnerability affects Redis, an in-memory data structure store, allowing authenticated attackers to trigger a use-after-free condition. The flaw resides in the master-replica synchronization mechanism when Lua scripting is enabled. Versions of Redis prior to 8.6.3 are vulnerable, and a fix is available in version 8.6.3.
प्रभाव और हमले की स्थितियाँ
Redis में CVE-2026-23631 भेद्यता Lua स्क्रिप्टिंग का उपयोग करने वाले संस्करणों को प्रभावित करती है। एक प्रमाणित हमलावर मास्टर-रेप्लीका सिंक्रोनाइज़ेशन तंत्र का शोषण करके 'replica-read-only' विकल्प अक्षम होने या अक्षम किया जा सकने वाले रेप्लिका पर एक उपयोग-बाद-मुक्ति (use-after-free) त्रुटि को ट्रिगर कर सकता है। इससे रिमोट कोड निष्पादन (RCE) हो सकता है, जिससे सिस्टम की गोपनीयता, अखंडता और उपलब्धता से समझौता हो सकता है। RCE की संभावना और Redis के विभिन्न अनुप्रयोगों में व्यापक अपनाने को देखते हुए, इस भेद्यता की गंभीरता उच्च है।
शोषण संदर्भ
इस भेद्यता का शोषण करने के लिए, हमलावर को Redis मास्टर सर्वर पर प्रमाणित होना आवश्यक है। हमलावर तब दुर्भावनापूर्ण Lua स्क्रिप्ट भेज सकता है जो रेप्लिका पर उपयोग-बाद-मुक्ति त्रुटि को ट्रिगर करने के लिए मास्टर-रेप्लीका सिंक्रोनाइज़ेशन का शोषण करते हैं। यह भेद्यता Redis द्वारा Lua स्क्रिप्ट को रेप्लिका में प्रसारित करने और केवल-पढ़ने मोड में नहीं होने वाले रेप्लिका में मेमोरी प्रबंधन के तरीके से उत्पन्न होती है। शोषण की जटिलता के लिए Redis आर्किटेक्चर और Lua स्क्रिप्ट निष्पादन की गहरी समझ की आवश्यकता होती है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.08% (23% शतमक)
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2026-23631 से जुड़े जोखिम को कम करने के लिए, Redis संस्करण 8.6.3 या उच्चतर में अपग्रेड करने की पुरजोर अनुशंसा की जाती है। यदि तत्काल अपग्रेड संभव नहीं है, तो उपयोगकर्ताओं को Lua स्क्रिप्ट निष्पादित करने से रोकें या 'replica-read-only' विकल्प अक्षम होने वाले रेप्लिका का उपयोग करने से बचें। संभावित हमलों से अपने सिस्टम की सुरक्षा के लिए Redis कॉन्फ़िगरेशन की समीक्षा करना और इन शमन उपायों को जल्द से जल्द लागू करना महत्वपूर्ण है। Redis लॉग की निगरानी करके संदिग्ध गतिविधि की जांच करना भी एक अच्छी प्रथा है।
कैसे ठीक करेंअनुवाद हो रहा है…
Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.
अक्सर पूछे जाने वाले सवाल
CVE-2026-23631 क्या है — Redis में Remote Code Execution (RCE)?
यह एक मेमोरी त्रुटि है जो तब होती है जब कोई प्रोग्राम पहले ही मुक्त किए जा चुके मेमोरी स्थान तक पहुंचने का प्रयास करता है। इससे अप्रत्याशित व्यवहार हो सकता है और कुछ मामलों में दुर्भावनापूर्ण कोड का निष्पादन हो सकता है।
क्या मैं Redis में CVE-2026-23631 से प्रभावित हूं?
यह विकल्प रेप्लिका को केवल पढ़ने के कमांड निष्पादित करने तक सीमित करता है, जिससे हमले की सतह कम हो जाती है और CVE-2026-23631 जैसे भेद्यताओं का जोखिम कम हो जाता है।
Redis में CVE-2026-23631 को कैसे ठीक करें?
एक अस्थायी समाधान के रूप में, Lua स्क्रिप्ट निष्पादन को अक्षम करना या 'replica-read-only' विकल्प अक्षम होने वाले रेप्लिका का उपयोग करने से बचना जोखिम को कम कर सकता है।
क्या CVE-2026-23631 का सक्रिय रूप से शोषण किया जा रहा है?
redis-cli का उपयोग करके Redis सर्वर से कनेक्ट करें और INFO server कमांड निष्पादित करें। संस्करण आउटपुट में प्रदर्शित होगा।
CVE-2026-23631 के लिए Redis का आधिकारिक सुरक्षा सलाह कहां मिलेगी?
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालांकि, सुरक्षा ऑडिट करने और संदिग्ध गतिविधि के लिए Redis लॉग की निगरानी करने की सिफारिश की जाती है।
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...