無料スキャン
分析待ちCVE-2026-23479

CVE-2026-23479: RCE in Redis 7.2.0 - 8.6.3

プラットフォーム

redis

コンポーネント

redis

修正版

8.6.3

NVDで見る
保存

CVE-2026-23479 is a Remote Code Execution (RCE) vulnerability affecting Redis versions 7.2.0 through 8.6.2. This flaw arises from an improper error handling mechanism within the unblock client flow, allowing an authenticated attacker to trigger a use-after-free condition. The vulnerability has been patched in Redis version 8.6.3, and users are strongly advised to upgrade.

影響と攻撃シナリオ

RedisのCVE-2026-23479は、7.2.0から8.6.3までのバージョンに影響します。これは、認証された攻撃者がリモートコード実行を達成するために悪用できるuse-after-freeの脆弱性です。問題は、Redisがクライアントのアンブロックフローをどのように処理するかにあります。具体的には、ブロックされたコマンドが再実行されると、processCommandAndResetClientからのエラーリターンが正しく処理されません。このフロー中にブロックされたクライアントが削除されると、use-after-freeの状態が発生し、Redisサーバー上で悪意のあるコードの実行が可能になる可能性があります。この脆弱性の深刻度は、リモートシステムの侵害の可能性があるため、高くなっています。

悪用の状況

Redisサーバーにアクセスできる認証された攻撃者は、この脆弱性を悪用できます。攻撃者は、クライアントをブロックするコマンドを送信し、次に、アンブロックプロセス中にクライアントの削除をトリガーできる必要があります。これは、ブロックされたコマンドとシステム負荷の過剰という組み合わせによって実現できる可能性があります。exploitの複雑さは、Redisサーバーの構成と、攻撃者がサーバーの状態を操作する能力によって異なります。exploitが成功した場合、攻撃者はサーバー上で任意のコードを実行できる可能性があり、Redisに保存されているデータの機密性、完全性、および可用性が損なわれる可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
NextGuard10–15% まだ脆弱

EPSS

0.10% (28% パーセンタイル)

影響を受けるソフトウェア

コンポーネントredis
ベンダーredis
最小バージョン7.2.0
最大バージョン>= 7.2.0, < 8.6.3
修正版8.6.3

弱点分類 (CWE)

CWE-416

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

CVE-2026-23479の推奨される軽減策は、Redisバージョン8.6.3以降にアップグレードすることです。このバージョンには、use-after-freeの欠陥に対処する修正が含まれています。即時のアップグレードが不可能な場合は、Redisのセキュリティガイドラインを確認し、exploitのリスクを軽減するのに役立つ追加のセキュリティ構成を適用してください。Redisログを定期的に監視し、認証されたクライアントのみがサーバーにアクセスできるようにしてください。定期的なセキュリティ監査も、潜在的な脆弱性を特定して対処するための良い習慣です。

修正方法翻訳中…

Actualice su servidor Redis a la versión 8.6.3 o posterior para mitigar la vulnerabilidad de uso después de liberar. Esta actualización corrige el manejo de errores en el flujo de desbloqueo de clientes, previniendo la posible ejecución remota de código.

よくある質問

CVE-2026-23479 とは何ですか?(Redis の Remote Code Execution (RCE))

Redisの7.2.0から8.6.3までのバージョンがCVE-2026-23479に脆弱です。

Redis の CVE-2026-23479 による影響を受けていますか?

コマンドredis-cli info serverを実行し、version行を検索することで、Redisのバージョンを確認できます。

Redis の CVE-2026-23479 を修正するにはどうすればよいですか?

すぐにアップグレードできない場合は、Redisのセキュリティガイドラインを確認し、リスクを軽減するために追加のセキュリティ構成を適用してください。

CVE-2026-23479 は積極的に悪用されていますか?

攻撃者は、この脆弱性を悪用するために、Redisサーバーへの認証されたアクセス権限が必要です。

CVE-2026-23479 に関する Redis の公式アドバイザリはどこで確認できますか?

これは、プログラムがすでに解放されたメモリにアクセスしようとすることを意味し、クラッシュを引き起こしたり、悪意のあるコードの実行を可能にしたりする可能性があります。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...