Redis
Redis gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Redis kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
6 ReportsZeige 1 bis 6 von 6
-
Debian Redis – Lua Sandbox Escape
CVE-2022-0543 Aktiv ausgenutztIn der Debian-spezifischen Redis-Implementierung wurde eine Schwachstelle bekannt, die einen Ausbruch aus der Lua-Sandbox ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.
EPSS: 94.40% Publiziert: Referenz: CISA KEV -
Redis: Use-after-free im Unblock-Client-Flow ermöglicht Codeausführung
CVE-2026-23479 HochIn redis-server ab Version 7.2.0 bis vor 8.6.3 wird beim Entsperren eines Clients ein Fehler aus der Funktion „processCommandAndResetClient” nicht korrekt behandelt, wenn ein blockierter Befehl erneut ausgeführt wird. Dies kann von einem authentifizierten Angreifer ausgenutzt werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ergänzend aus einem Community-Hinweis (Quelle: reddit:r/cybersecurity, manuell erfasst): Der Fehler beruht auf einer Use-after-free-Bedingung, ein dreistufiger Exploit-Chain samt technischem Writeup ist öffentlich, und die Patches erschienen am 5. Mai; fehlerbereinigt sind demnach die Versionen 7.2.14, 7.4.9, 8.2.6, 8.4.3 und 8.6.3. Empfohlene Massnahme: auf eine dieser Versionen aktualisieren; ist das nicht sofort möglich, Redis nicht aus dem Internet erreichbar betreiben, TLS vorschalten, ACLs so trennen, dass keine Rolle gleichzeitig @admin und @scripting hält, und Lua-Scripting deaktivieren, falls es nicht benötigt wird.
CVSS: 8.8 EPSS: 0.10% Publiziert: Referenz: NVD / reddit:r/cybersecurity (manuell erfasst) -
Redis: Unzureichende Validierung im RESTORE-Befehl
CVE-2026-25243 HochIn redis-server bis Version 8.6.3 validiert der RESTORE-Befehl serialisierte Werte nicht korrekt. Ein authentifizierter Angreifer mit der Berechtigung, diesen Befehl auszuführen, kann dies ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.09% Publiziert: Referenz: NVD -
Redis: Use-after-free über Lua-Scripting und Master-Replica-Synchronisation
CVE-2026-23631 HochIn allen Versionen von redis-server mit Lua-Scripting kann ein authentifizierter Angreifer den Master-Replica-Synchronisationsmechanismus missbrauchen, um einen Use-after-free-Zustand auszulösen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.1 EPSS: 0.08% Publiziert: Referenz: NVD -
Redis im CVX-Cluster: Root-Zugriff über authentifizierte Redis-Sitzung
CVE-2025-5088 HochEine authentifizierte Redis-Sitzung kann genutzt werden, um vollständigen Root-Zugriff auf alle Server im CVX-Cluster zu erlangen. Laut Quellbeschreibung setzt dies sowohl Netzwerkzugriff auf den Redis-Dienst als auch eine gültige Authentifizierung voraus. CVSS-Basiswert: 8.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die betroffene Software gemäss Hersteller-Advisory aktualisieren und den Zugriff auf den Redis-Dienst einschränken.
CVSS: 8.3 EPSS: 0.02% Publiziert: Referenz: NVD -
OpenTelemetry eBPF: Offenlegung von Redis-Fehlermeldungen
CVE-2026-45679 MittelOpenTelemetry eBPF Instrumentation exportiert in Versionen vor 0.9.0 rohen Redis-Fehlertext als Span-Statusmeldung. Da Redis-Fehlermeldungen potenziell sensible Informationen enthalten können, besteht ein Informationsoffenlegungsrisiko. CVSS-Basiswert: 6.5 (Mittel).
CVSS: 6.5 EPSS: 0.03% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für Redis, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.