無料スキャン
分析待ちCVE-2026-23631

CVE-2026-23631: RCE in Redis 8.6.3 以前

プラットフォーム

redis

コンポーネント

redis

修正版

8.6.3

NVDで見る
保存

Redisは、インメモリデータ構造ストアです。この脆弱性(CVE-2026-23631)は、RedisサーバーのLuaスクリプト機能に関連しており、認証された攻撃者がマスター-レプリカ同期メカニズムを悪用することで、use-after-freeを引き起こす可能性があります。影響を受けるバージョンはRedis 8.6.3以前です。バージョン8.6.3へのアップグレードまたは、Luaスクリプトの実行を制限することで緩和できます。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者がRedisサーバー上で任意のコードを実行することを可能にします。攻撃者は、Luaスクリプトを通じて悪意のあるコードを注入し、サーバーの制御を奪う可能性があります。これにより、機密データの窃取、改ざん、削除、さらにはシステム全体の侵害につながる可能性があります。特に、レプリカサーバーがread-onlyモードになっていない場合、攻撃の影響範囲は広がる可能性があります。この脆弱性は、類似のLuaスクリプト実行に関連する脆弱性と同様のリスクをもたらします。

悪用の状況

この脆弱性は、2026年5月5日に公開されました。現時点では、KEV (Kernel Exploitability Tracking) の評価は未定です。EPSS (Exploit Prediction Scoring System) のスコアもまだ割り当てられていません。公開されているPOCは確認されていませんが、RedisのLuaスクリプト機能は過去に悪用された例があるため、将来的に悪用される可能性は否定できません。NVD (National Vulnerability Database) およびCISA (Cybersecurity and Infrastructure Security Agency) の情報も確認してください。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
NextGuard10–15% まだ脆弱

EPSS

0.08% (23% パーセンタイル)

影響を受けるソフトウェア

コンポーネントredis
ベンダーredis
最小バージョン0.0.0
最大バージョン< 8.6.3
修正版8.6.3

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への主な対策は、Redisバージョンを8.6.3にアップグレードすることです。アップグレードが困難な場合は、Luaスクリプトの実行を禁止する設定を有効にすることを推奨します。config set disable-command-scripting yesコマンドを使用することで、Luaスクリプトの実行を無効化できます。また、レプリカサーバーでreplica-read-only yesを設定することで、レプリカサーバーでのコード実行のリスクを軽減できます。アップグレード後、redis-cli config get disable-command-scriptingコマンドで設定が有効になっていることを確認してください。

修正方法翻訳中…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.

よくある質問

CVE-2026-23631 — RCE in Redis 8.6.3 以前とは何ですか?

CVE-2026-23631は、Redis 8.6.3以前のバージョンにおけるリモートコード実行(RCE)の脆弱性です。攻撃者は、Luaスクリプトを通じてRedisサーバー上で任意のコードを実行できる可能性があります。

CVE-2026-23631 in Redis 8.6.3 以前の影響はありますか?

はい、影響があります。Redis 8.6.3以前のバージョンを使用している場合、攻撃者はRedisサーバー上で任意のコードを実行し、機密データの窃取や改ざん、システム全体の侵害につながる可能性があります。

CVE-2026-23631 in Redis 8.6.3 以前を修正するにはどうすればよいですか?

Redisバージョンを8.6.3にアップグレードするか、Luaスクリプトの実行を禁止する設定を有効にしてください。config set disable-command-scripting yesコマンドを使用することで、Luaスクリプトの実行を無効化できます。

CVE-2026-23631は積極的に悪用されていますか?

現時点では、公開されている悪用事例は確認されていませんが、RedisのLuaスクリプト機能は過去に悪用された例があるため、将来的に悪用される可能性は否定できません。

CVE-2026-23631に関するRedis公式のアドバイザリはどこで入手できますか?

Redis公式のアドバイザリは、Redisの公式ウェブサイトまたはGitHubリポジトリで確認できます。最新の情報については、Redisのセキュリティ情報を定期的に確認してください。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...