無料スキャン
分析待ちCVE-2026-23479

CVE-2026-23479: RCE in Redis 7.2.0 – 8.6.3

プラットフォーム

redis

コンポーネント

redis

修正版

8.6.3

NVDで見る
保存

Redis は、インメモリデータ構造ストアです。CVE-2026-23479 は、Redis サーバーの 7.2.0 から 8.6.3 までのバージョンに存在する脆弱性です。ブロックされたクライアントのアンブロック処理において、processCommandAndResetClient からのエラー処理の不備が原因で、use-after-free が発生し、リモートコード実行につながる可能性があります。バージョン 8.6.3 でこの問題は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、認証された攻撃者は Redis サーバー上で任意のコードを実行できる可能性があります。攻撃者は、ブロックされたクライアントを追い出し、そのクライアントのコマンドを再実行する際に、use-after-free エラーをトリガーします。これにより、攻撃者はサーバーのメモリを操作し、最終的にリモートコードを実行できるようになります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらにはサーバーの完全な制御につながる可能性があります。この脆弱性は、Log4Shell のような広範囲な影響を及ぼす可能性があり、注意が必要です。

悪用の状況

この脆弱性は、2026年5月5日に公開されました。現時点では、KEV (Kernel Exploitability Tracking) に登録されていません。EPSS (Exploit Prediction Score System) の評価は、公開情報が限られているため、現時点では不明です。公的な Proof-of-Concept (PoC) コードは確認されていませんが、脆弱性の性質上、近い将来に公開される可能性があります。NVD (National Vulnerability Database) および CISA (Cybersecurity and Infrastructure Security Agency) のアドバイザリを監視することを推奨します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
NextGuard10–15% まだ脆弱

EPSS

0.10% (28% パーセンタイル)

影響を受けるソフトウェア

コンポーネントredis
ベンダーredis
最小バージョン7.2.0
最大バージョン>= 7.2.0, < 8.6.3
修正版8.6.3

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、Redis サーバーをバージョン 8.6.3 にアップデートすることを強く推奨します。アップデートできない場合は、ブロックされたクライアントの処理を制限する WAF ルールやプロキシ設定を検討してください。また、Redis の設定ファイル (redis.conf) で timeout パラメータを適切に設定し、アイドル状態のクライアント接続を積極的に切断することで、攻撃対象領域を縮小できます。アップデート後、redis-cli ping コマンドを実行し、サーバーが正常に動作していることを確認してください。

修正方法翻訳中…

Actualice su servidor Redis a la versión 8.6.3 o posterior para mitigar la vulnerabilidad de uso después de liberar. Esta actualización corrige el manejo de errores en el flujo de desbloqueo de clientes, previniendo la posible ejecución remota de código.

よくある質問

CVE-2026-23479 — RCE in Redis 7.2.0 – 8.6.3 とは何ですか?

CVE-2026-23479 は、Redis 7.2.0 から 8.6.3 までのバージョンに存在するリモートコード実行 (RCE) の脆弱性です。認証された攻撃者が、ブロックされたクライアントの処理中に use-after-free を引き起こし、リモートコードを実行できる可能性があります。

CVE-2026-23479 in Redis 7.2.0 – 8.6.3 に影響を受けますか?

Redis サーバーのバージョンが 7.2.0 から 8.6.3 の範囲内である場合、この脆弱性に影響を受ける可能性があります。バージョン 8.6.3 へのアップデートを強く推奨します。

CVE-2026-23479 in Redis 7.2.0 – 8.6.3 を修正するにはどうすればよいですか?

Redis サーバーをバージョン 8.6.3 にアップデートしてください。アップデートできない場合は、WAF ルールやプロキシ設定による緩和策を検討してください。

CVE-2026-23479 は積極的に悪用されていますか?

現時点では、公的な悪用事例は確認されていませんが、脆弱性の性質上、近い将来に悪用される可能性があります。セキュリティ情報を常に監視してください。

CVE-2026-23479 のための公式 Redis アドバイザリはどこで入手できますか?

Redis の公式アドバイザリは、Redis のウェブサイト (https://redis.io/blog/) で確認できます。CVE-2026-23479 に関する情報は、このサイトで公開されている可能性があります。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...