मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-25243

CVE-2026-25243: RCE in Redis 1.0.0 - 8.6.3

प्लेटफ़ॉर्म

redis

घटक

redis

में ठीक किया गया

8.6.3

NVD पर देखें
सहेजें

CVE-2026-25243 describes a Remote Code Execution (RCE) vulnerability affecting Redis versions 1.0.0 up to 8.6.3. This vulnerability arises from insufficient validation within the RESTORE command, allowing an authenticated attacker to inject malicious serialized data. Successful exploitation could lead to arbitrary code execution on the Redis server, potentially compromising the entire system. The vulnerability was published on May 5, 2026, and a patch is available in version 8.6.3.

प्रभाव और हमले की स्थितियाँ

Redis में CVE-2026-25243 भेद्यता 8.6.3 तक के संस्करणों को प्रभावित करती है। यह एक प्रमाणित हमलावर को RESTORE कमांड निष्पादित करने की अनुमति देने की अनुमति देता है, जो एक दुर्भावनापूर्ण क्रमबद्ध पेलोड को इंजेक्ट कर सकता है। यह पेलोड अमान्य मेमोरी एक्सेस का कारण बन सकता है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है। इस भेद्यता की गंभीरता महत्वपूर्ण है, क्योंकि एक सफल हमलावर Redis में संग्रहीत डेटा की गोपनीयता और अखंडता से समझौता कर सकता है, और सबसे खराब स्थिति में, सर्वर को नियंत्रित कर सकता है। क्रमबद्धता की प्रकृति, जब ठीक से मान्य नहीं होती है, तो मनमाना कोड निष्पादन के लिए एक सामान्य वेक्टर है, जिससे यह भेद्यता विशेष रूप से चिंताजनक हो जाती है। सफल शोषण के लिए हमलावर को RESTORE कमांड को निष्पादित करने में सक्षम होना आवश्यक है, आमतौर पर एक उपयोगकर्ता खाते के साथ विशिष्ट अनुमतियों का होना आवश्यक है।

शोषण संदर्भ

यह भेद्यता RESTORE कमांड के माध्यम से शोषण किया जाता है, जिसका उपयोग RDB फ़ाइल से Redis डेटाबेस को पुनर्निर्माण करने के लिए किया जाता है। एक हमलावर एक दुर्भावनापूर्ण RDB फ़ाइल बना सकता है जिसमें एक क्रमबद्ध पेलोड होता है जिसे RESTORE कमांड में सत्यापन की कमी का फायदा उठाने के लिए डिज़ाइन किया गया है। इस दुर्भावनापूर्ण RDB फ़ाइल को एक कमजोर Redis सर्वर पर पुनर्स्थापित करके, हमलावर अमान्य मेमोरी एक्सेस को ट्रिगर कर सकता है और संभावित रूप से मनमाना कोड निष्पादित कर सकता है। शोषण के लिए हमलावर को Redis सर्वर तक प्रमाणित पहुंच और RESTORE कमांड को निष्पादित करने की अनुमति होनी चाहिए। शोषण की जटिलता हमलावर की मौजूदा रक्षा तंत्र से बचने वाले प्रभावी क्रमबद्ध पेलोड बनाने की क्षमता पर निर्भर करती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
NextGuard10–15% अभी भी असुरक्षित

EPSS

0.09% (26% शतमक)

प्रभावित सॉफ्टवेयर

घटकredis
विक्रेताredis
न्यूनतम संस्करण1.0.0
अधिकतम संस्करण< 8.6.3
में ठीक किया गया8.6.3

कमजोरी वर्गीकरण (CWE)

CWE-122

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-25243 के लिए सबसे प्रभावी शमन Redis को 8.6.3 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में फिक्स शामिल है जो RESTORE कमांड में क्रमबद्ध मूल्यों को ठीक से मान्य करता है। एक अतिरिक्त सुरक्षा उपाय के रूप में, ACL (एक्सेस कंट्रोल लिस्ट) नियमों का उपयोग करके RESTORE कमांड तक पहुंच को प्रतिबंधित करने की सिफारिश की जाती है। यह अनधिकृत उपयोगकर्ताओं की कमांड निष्पादित करने की क्षमता को सीमित करता है, भले ही भेद्यता पुराने संस्करणों में बनी रहे। इसके अलावा, यह सुनिश्चित करने के लिए प्रमाणीकरण और प्राधिकरण नीतियों की समीक्षा और मजबूत करना महत्वपूर्ण है कि केवल वैध उपयोगकर्ताओं के पास Redis और उसके कमांड तक पहुंच हो। एक निगरानी और घुसपैठ का पता लगाने वाले सिस्टम को लागू करने से शोषण प्रयासों की पहचान करने और उनका जवाब देने में मदद मिल सकती है।

कैसे ठीक करेंअनुवाद हो रहा है…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis.  Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad.  Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.

अक्सर पूछे जाने वाले सवाल

CVE-2026-25243 क्या है — Redis में Remote Code Execution (RCE)?

Redis एक ओपन-सोर्स, इन-मेमोरी डेटा स्ट्रक्चर स्टोर है, जिसका उपयोग डेटाबेस, कैश और मैसेज ब्रोकर के रूप में किया जाता है।

क्या मैं Redis में CVE-2026-25243 से प्रभावित हूं?

यह रिमोट कोड निष्पादन की अनुमति देता है, जो डेटा सुरक्षा और सर्वर को खतरे में डाल सकता है।

Redis में CVE-2026-25243 को कैसे ठीक करें?

तुरंत 8.6.3 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-25243 का सक्रिय रूप से शोषण किया जा रहा है?

ACL एक्सेस कंट्रोल लिस्ट हैं जो Redis कमांड और संसाधनों तक पहुंच को प्रतिबंधित करने की अनुमति देते हैं।

CVE-2026-25243 के लिए Redis का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

अपग्रेड और ACL का उपयोग करने के अलावा, अपनी प्रमाणीकरण और प्राधिकरण नीतियों की समीक्षा करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...