Report
CVE-2026-23479 Hoch

Redis: Use-after-free im Unblock-Client-Flow ermöglicht Codeausführung

Kennzahlen

CVSS-Basiswert
8.8
EPSS
0.10%
Veröffentlicht
Aktualisiert
Quelle
NVD / reddit:r/cybersecurity (manuell erfasst)

Beschreibung

In redis-server ab Version 7.2.0 bis vor 8.6.3 wird beim Entsperren eines Clients ein Fehler aus der Funktion „processCommandAndResetClient” nicht korrekt behandelt, wenn ein blockierter Befehl erneut ausgeführt wird. Dies kann von einem authentifizierten Angreifer ausgenutzt werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ergänzend aus einem Community-Hinweis (Quelle: reddit:r/cybersecurity, manuell erfasst): Der Fehler beruht auf einer Use-after-free-Bedingung, ein dreistufiger Exploit-Chain samt technischem Writeup ist öffentlich, und die Patches erschienen am 5. Mai; fehlerbereinigt sind demnach die Versionen 7.2.14, 7.4.9, 8.2.6, 8.4.3 und 8.6.3. Empfohlene Massnahme: auf eine dieser Versionen aktualisieren; ist das nicht sofort möglich, Redis nicht aus dem Internet erreichbar betreiben, TLS vorschalten, ACLs so trennen, dass keine Rolle gleichzeitig @admin und @scripting hält, und Lua-Scripting deaktivieren, falls es nicht benötigt wird.

Betroffene Produkte

Quellen und Referenzen

Weitere Schwachstellen in Redis

Alle Reports zu Redis

Feed folgen, kostenlos

Priorisierte Schwachstellen per RSS sofort verfolgen, frei zugänglich und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage.

RSS-Feed öffnen Zustellung anfragen

Über diesen Report

  • Priorisierung nach KEV-Status, EPSS-Score und CVSS-Basiswert.
  • Stündliche Aktualisierung durch die Threat-Intelligence-Pipeline.
  • NIS2/CRA-relevante Produkte im DACH-Markt.