| Produkt | Oprogramowanie Redis – wiele wersji Wersje Redis OSS/CE – wiele wersji |
| Numer CVE | CVE‑2026‑23479 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Gdy zablokowany klient zostanie eksmitowany podczas ponownego wykonywania zablokowanego polecenia, uwierzytelniony użytkownik może wywołać procedurę „use-after-free” (użyj po zwolnieniu), co potencjalnie może doprowadzić do zdalnego wykonania kodu. Kod nie obsługuje przypadku, gdy przetwarzanie polecenia (processCommandAndResetClient) zwróci wartość błędu. |
| Numer CVE | CVE‑2026‑25243 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka w poleceniu Redis RESTORE umożliwia uwierzytelnionemu użytkownikowi wywołanie nieprawidłowego dostępu do pamięci za pośrednictwem specjalnie spreparowanego, serializowanego ładunku, co potencjalnie może skutkować zdalnym wykonaniem kodu. Udane wykorzystanie tej luki może umożliwić atakującemu z uwierzytelnionym dostępem wykonanie dowolnego kodu w kontekście serwera Redis, co potencjalnie może doprowadzić do całkowitego przejęcia kontroli nad systemem, wycieku danych lub zakłócenia działania usługi. |
| Numer CVE | CVE-2026-25588 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka w poleceniu RESTORE, używanym z modułem RedisTimeSeries, umożliwia uwierzytelnionemu atakującemu wywołanie próby dostępu do pamięci za pośrednictwem specjalnie spreparowanego, serializowanego ładunku, co potencjalnie może skutkować zdalnym wykonaniem kodu. Udane wykorzystanie tej luki może umożliwić atakującemu z uwierzytelnionym dostępem wykonanie dowolnego kodu w kontekście serwera Redis, używanego z modułem RedisTimeSeries, co potencjalnie może doprowadzić do całkowitego przejęcia kontroli nad systemem, wycieku danych lub zakłócenia działania usługi. |
| Numer CVE | CVE‑2026‑25589 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka w poleceniu RESTORE, używanym z modułem RedisBloom, umożliwia uwierzytelnionemu atakującemu wywołanie nieprawidłowego dostępu do pamięci za pomocą specjalnie spreparowanego, serializowanego ładunku, co potencjalnie może skutkować zdalnym wykonaniem kodu. Skuteczne wykorzystanie tej luki może umożliwić atakującemu z uwierzytelnionym dostępem wykonanie dowolnego kodu w kontekście serwera Redis, używanego z modułem RedisBloom, co może potencjalnie prowadzić do całkowitego naruszenia bezpieczeństwa systemu, wycieku danych lub zakłócenia działania usługi. |
| Numer CVE | CVE-2026-23631 |
| Krytyczność | 6.1/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
| Opis | Uwierzytelniony użytkownik może wykorzystać mechanizm synchronizacji repliki głównej i wywołać lukę w zabezpieczeniach typu „użyj po zwolnieniu”, potencjalnie prowadząc do zdalnego wykonania kodu. Błąd dotyczy tylko replik skonfigurowanych lub skonfigurowanych z wyłączoną opcją „tylko do odczytu” i występuje we wszystkich wersjach Redis obsługujących skrypty Lua. |
| Aktualizacja | TAK |
| Link | https://redis.io/blog/security-advisory-cve202623479-cve202625243-cve-2026-25588-cve202625589-cve-2026-23631/ |
Nowe podatności w Redis. (P26-170)
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny