PT-2026-37086 · Redis+1 · Redis-Server+2

Yoni Shiraz

·

Publicado

2026-05-05

·

Atualizado

2026-06-30

·

CVE-2026-23631

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas redis-server versões anteriores a 8.6.3
Description Um invasor autenticado pode explorar o mecanismo de sincronização mestre-réplica no redis-server para disparar uma condição de use-after-free em réplicas onde a configuração replica-read-only está desativada ou pode ser desativada. Este problema, que envolve o interpretador de scripts Lua, pode levar à execução remota de código.
Recommendations Atualizar para a versão 8.6.3. Impedir que os usuários executem scripts Lua como uma solução temporária. Evitar o uso de réplicas onde o replica-read-only esteja desativado.

Exploit

Correção

RCE

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

ALSA-2026:25219
ALSA-2026:25925
BDU:2026-06451
BIT-KEYDB-2026-23631
BIT-REDIS-2026-23631
BIT-VALKEY-2026-23631
CVE-2026-23631
GHSA-8GHH-QPMP-7826
OESA-2026-2237
OPENSUSE-SU-2026:10711-1
OPENSUSE-SU-2026:10719-1
OPENSUSE-SU-2026:20776-1
RHSA-2026:25216
RHSA-2026:25219
SUSE-SU-2026:1949-1
SUSE-SU-2026:1950-1
SUSE-SU-2026:2097-1
SUSE-SU-2026:2099-1
SUSE-SU-2026:2100-1
SUSE-SU-2026:21814-1

Produtos afetados

Redis
Rocky Linux
Redis-Server