CVE-2026-23631: RCE no Redis 0.0.0 - 8.6.3
Plataforma
redis
Componente
redis
Corrigido em
8.6.3
A vulnerabilidade CVE-2026-23631 no Redis, um armazenamento de estruturas de dados na memória, permite a execução remota de código (RCE). Essa falha ocorre devido à exploração do mecanismo de sincronização master-replica em servidores Redis com scripts Lua, especialmente quando a opção replica-read-only está desabilitada. Versões afetadas incluem todas as versões de redis-server anteriores à 8.6.3. A correção foi implementada na versão 8.6.3.
Impacto e Cenários de Ataque
Um atacante autenticado pode explorar essa vulnerabilidade para injetar e executar código malicioso no servidor Redis. O ataque se aproveita da sincronização entre o servidor master e as réplicas, permitindo que um script Lua malicioso seja propagado para as réplicas. Se a opção replica-read-only estiver desabilitada, o código injetado pode ser executado com privilégios equivalentes aos do usuário Redis, levando ao comprometimento completo do servidor. O impacto potencial inclui roubo de dados sensíveis armazenados no Redis, modificação de dados, instalação de malware e uso do servidor comprometido para ataques subsequentes contra outros sistemas na rede. A ausência da opção replica-read-only amplifica significativamente o risco, tornando as réplicas vulneráveis à execução de código arbitrário.
Contexto de Exploração
A vulnerabilidade CVE-2026-23631 foi publicada em 2026-05-05. A probabilidade de exploração é considerada média, devido à necessidade de autenticação e à complexidade do ataque. Não há evidências públicas de campanhas ativas explorando essa vulnerabilidade no momento da publicação. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA. É importante monitorar fontes de inteligência de ameaças para detectar possíveis explorações futuras.
Inteligência de Ameaças
Status do Exploit
EPSS
0.08% (percentil 23%)
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária é atualizar o Redis para a versão 8.6.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, a melhor alternativa é desabilitar a execução de scripts Lua no servidor Redis, restringindo o acesso a essa funcionalidade. Outra opção é garantir que a opção replica-read-only esteja ativada em todas as réplicas, impedindo a execução de código arbitrário. Para detecção, monitore logs de Redis em busca de atividades suspeitas relacionadas à execução de scripts Lua. Após a atualização, confirme a correção executando testes de penetração ou verificando a versão do Redis para garantir que a versão corrigida esteja em execução.
Como corrigirtraduzindo…
Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis. Alternativamente, desactive la ejecución de scripts Lua o evite el uso de réplicas donde la opción replica-read-only esté deshabilitada.
Perguntas frequentes
O que é CVE-2026-23631 — RCE no Redis?
CVE-2026-23631 é uma vulnerabilidade de Execução Remota de Código (RCE) no Redis, que afeta versões de 0.0.0 até 8.6.3. Permite que um atacante execute código malicioso no servidor Redis através da sincronização master-replica.
Estou afetado pelo CVE-2026-23631 no Redis?
Se você estiver utilizando uma versão do Redis anterior à 8.6.3 e permitir a execução de scripts Lua com a opção replica-read-only desabilitada, você está potencialmente afetado.
Como corrigir CVE-2026-23631 no Redis?
A correção é atualizar o Redis para a versão 8.6.3 ou superior. Como alternativa, desabilite a execução de scripts Lua ou habilite a opção replica-read-only nas réplicas.
CVE-2026-23631 está sendo ativamente explorado?
Até o momento da publicação, não há evidências públicas de exploração ativa da vulnerabilidade, mas a probabilidade de exploração é considerada média.
Onde posso encontrar o advisory oficial do Redis para CVE-2026-23631?
Consulte o site oficial do Redis para obter o advisory de segurança relacionado ao CVE-2026-23631: [https://redis.io/docs/security/security-advisories/](https://redis.io/docs/security/security-advisories/)
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...