Redis: Use-after-free im Unblock-Client-Flow ermöglicht Codeausführung
Kennzahlen
- CVSS-Basiswert
- 8.8
- EPSS
- 0.10%
- Veröffentlicht
- Aktualisiert
- Quelle
- NVD / reddit:r/cybersecurity (manuell erfasst)
Beschreibung
In redis-server ab Version 7.2.0 bis vor 8.6.3 wird beim Entsperren eines Clients ein Fehler aus der Funktion „processCommandAndResetClient” nicht korrekt behandelt, wenn ein blockierter Befehl erneut ausgeführt wird. Dies kann von einem authentifizierten Angreifer ausgenutzt werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ergänzend aus einem Community-Hinweis (Quelle: reddit:r/cybersecurity, manuell erfasst): Der Fehler beruht auf einer Use-after-free-Bedingung, ein dreistufiger Exploit-Chain samt technischem Writeup ist öffentlich, und die Patches erschienen am 5. Mai; fehlerbereinigt sind demnach die Versionen 7.2.14, 7.4.9, 8.2.6, 8.4.3 und 8.6.3. Empfohlene Massnahme: auf eine dieser Versionen aktualisieren; ist das nicht sofort möglich, Redis nicht aus dem Internet erreichbar betreiben, TLS vorschalten, ACLs so trennen, dass keine Rolle gleichzeitig @admin und @scripting hält, und Lua-Scripting deaktivieren, falls es nicht benötigt wird.
Betroffene Produkte
Quellen und Referenzen
Weitere Schwachstellen in Redis
- Debian Redis – Lua Sandbox Escape KEV CVE-2022-0543
- Redis: Unzureichende Validierung im RESTORE-Befehl CVE-2026-25243
- Redis im CVX-Cluster: Root-Zugriff über authentifizierte Redis-Sitzung CVE-2025-5088
- Redis: Use-after-free über Lua-Scripting und Master-Replica-Synchronisation CVE-2026-23631
- OpenTelemetry eBPF: Offenlegung von Redis-Fehlermeldungen CVE-2026-45679
Feed folgen, kostenlos
Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.
RSS-Feed öffnen Zustellung anfragenÜber diesen Report
- Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
- Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
- NIS2/CRA-relevante Produkte im DACH-Markt.