<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: Redis</title>
    <link>https://feed.xonatec.ch/produkte/redis</link>
    <description>Priorisierte Schwachstellen-Reports für Redis. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Wed, 03 Jun 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/redis.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>🔴 CVE-2022-0543 — Debian Redis – Lua Sandbox Escape</title>
      <link>https://feed.xonatec.ch/reports/cve-2022-0543</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2022-0543</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In der Debian-spezifischen Redis-Implementierung wurde eine Schwachstelle bekannt, die einen Ausbruch aus der Lua-Sandbox ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

Severity: Aktiv ausgenutzt · EPSS: 94.4% · aktiv ausgenutzt (KEV)

Betroffene Produkte: debian-dsa, redis</description>
      <category>Aktiv ausgenutzt</category><category>KEV</category><category>Debian (DSA)</category><category>Redis</category>
    </item>
    <item>
      <title>CVE-2026-23479 — Redis: Use-after-free im Unblock-Client-Flow ermöglicht Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23479</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23479</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>In redis-server ab Version 7.2.0 bis vor 8.6.3 wird beim Entsperren eines Clients ein Fehler aus der Funktion „processCommandAndResetClient” nicht korrekt behandelt, wenn ein blockierter Befehl erneut ausgeführt wird. Dies kann von einem authentifizierten Angreifer ausgenutzt werden. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Ergänzend aus einem Community-Hinweis (Quelle: reddit:r/cybersecurity, manuell erfasst): Der Fehler beruht auf einer Use-after-free-Bedingung, ein dreistufiger Exploit-Chain samt technischem Writeup ist öffentlich, und die Patches erschienen am 5. Mai; fehlerbereinigt sind demnach die Versionen 7.2.14, 7.4.9, 8.2.6, 8.4.3 und 8.6.3. Empfohlene Massnahme: auf eine dieser Versionen aktualisieren; ist das nicht sofort möglich, Redis nicht aus dem Internet erreichbar betreiben, TLS vorschalten, ACLs so trennen, dass keine Rolle gleichzeitig @admin und @scripting hält, und Lua-Scripting deaktivieren, falls es nicht benötigt wird.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: redis</description>
      <category>Hoch</category><category>Redis</category>
    </item>
    <item>
      <title>CVE-2026-25243 — Redis: Unzureichende Validierung im RESTORE-Befehl</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-25243</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-25243</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In redis-server bis Version 8.6.3 validiert der RESTORE-Befehl serialisierte Werte nicht korrekt. Ein authentifizierter Angreifer mit der Berechtigung, diesen Befehl auszuführen, kann dies ausnutzen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: redis</description>
      <category>Hoch</category><category>Redis</category>
    </item>
    <item>
      <title>CVE-2026-23631 — Redis: Use-after-free über Lua-Scripting und Master-Replica-Synchronisation</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-23631</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-23631</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In allen Versionen von redis-server mit Lua-Scripting kann ein authentifizierter Angreifer den Master-Replica-Synchronisationsmechanismus missbrauchen, um einen Use-after-free-Zustand auszulösen. CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.1 · EPSS: 0.1%

Betroffene Produkte: redis</description>
      <category>Hoch</category><category>Redis</category>
    </item>
    <item>
      <title>CVE-2025-5088 — Redis im CVX-Cluster: Root-Zugriff über authentifizierte Redis-Sitzung</title>
      <link>https://feed.xonatec.ch/reports/cve-2025-5088</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2025-5088</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Eine authentifizierte Redis-Sitzung kann genutzt werden, um vollständigen Root-Zugriff auf alle Server im CVX-Cluster zu erlangen. Laut Quellbeschreibung setzt dies sowohl Netzwerkzugriff auf den Redis-Dienst als auch eine gültige Authentifizierung voraus. CVSS-Basiswert: 8.3 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %. Empfohlene Massnahme: die betroffene Software gemäss Hersteller-Advisory aktualisieren und den Zugriff auf den Redis-Dienst einschränken.

Severity: Hoch · CVSS: 8.3 · EPSS: 0.0%

Betroffene Produkte: redis</description>
      <category>Hoch</category><category>Redis</category>
    </item>
    <item>
      <title>CVE-2026-45679 — OpenTelemetry eBPF: Offenlegung von Redis-Fehlermeldungen</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-45679</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-45679</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>OpenTelemetry eBPF Instrumentation exportiert in Versionen vor 0.9.0 rohen Redis-Fehlertext als Span-Statusmeldung. Da Redis-Fehlermeldungen potenziell sensible Informationen enthalten können, besteht ein Informationsoffenlegungsrisiko. CVSS-Basiswert: 6.5 (Mittel).

Severity: Mittel · CVSS: 6.5 · EPSS: 0.0%

Betroffene Produkte: redis</description>
      <category>Mittel</category><category>Redis</category>
    </item>
  </channel>
</rss>
