Alerta por RCE en Redis: vulnerabilidad crítica descubierta por IA
Publicado el
Redis y la vulnerabilidad CVE-2026-23479
Redis ha corregido una grave vulnerabilidad de ejecución remota de código (RCE) en su sistema, que permite a un usuario autenticado ejecutar comandos del sistema operativo en la máquina que alberga la base de datos. Esta falla, conocida como CVE-2026-23479, fue identificada por una herramienta de inteligencia artificial autónoma diseñada para detectar errores en grandes bases de código.
La vulnerabilidad fue introducida en la versión 7.2.0 de Redis y permaneció sin ser detectada en todas las ramas estables hasta las correcciones lanzadas el 5 de mayo. La base de datos fue calificada con un 8.8 en la escala CVSS 3.1 y como 7.7 en CVSS 4.0. El descubrimiento fue realizado por Team Xint Code, que ha publicado un análisis técnico completo sobre el problema.
Detalles técnicos de la vulnerabilidad
El fallo se encuentra en la función `unblockClientOnKey()` en el archivo `src/blocked.c`, que se activa cuando un evento de clave despierta un comando bloqueado. Esta función despacha el comando en cola a través de `processCommandAndResetClient()`, pero continúa utilizando el mismo puntero de cliente. El problema es que esta función puede liberar el cliente como efecto colateral, y su propio comentario en el encabezado lo indica. El llamador ignora el valor de retorno y lee la estructura liberada, lo que resulta en un uso después de liberar (CWE-416).
Según el análisis de Wiz, el error fue introducido a través de dos cambios en el código. Una reestructuración en enero de 2023 (PR #11012) añadió la llamada no verificada, mientras que un cambio en marzo de 2023 (PR #11568) aumentó el acceso del cliente. Ambos cambios eran inocuos por separado, pero juntos derivaron en la vulnerabilidad que pasó desapercibida durante varias revisiones de seguridad.
Impacto en entornos de nube
La situación se agrava por el uso de Redis en entornos de nube, donde muchos de estos sistemas funcionan sin contraseña. Aunque la explotación requiere una sesión autenticada, en una instalación predeterminada, el usuario por defecto ya posee todos los privilegios necesarios. El análisis de Wiz indica que Redis está presente en una gran mayoría de los entornos de nube, lo que aumenta el riesgo de explotación.
La cadena de explotación comienza con la filtración de una dirección de memoria en el montón. Luego, se libera un cliente y se introduce uno falso en la misma memoria, aprovechando la contabilidad de memoria de Redis para sobrescribir un puntero de función. El proceso de explotación se desarrolla en tres etapas, comenzando con un script de Lua que filtra un puntero de memoria.
Recomendaciones y parches
Redis ha sugerido actualizar a las versiones corregidas de su software: 7.2.14, 7.4.9, 8.2.6, 8.4.3 o 8.6.3, todas liberadas el 5 de mayo. Las actualizaciones menores dentro de una serie están diseñadas para ser de fácil implementación. Los servicios gestionados de Redis aplican parches según sus propios calendarios, y se ha confirmado que Redis Cloud ya ha sido actualizado.
Si no es posible aplicar el parche inmediatamente, se recomienda mantener Redis alejado de internet público y detrás de TLS, así como restringir los controles de acceso (ACL) para que ningún rol único posea las categorías @admin, CONFIG y @scripting de forma conjunta. También se debe considerar la rotación de credenciales de Redis compartidas y priorizar la actualización de instancias expuestas a internet.
La vulnerabilidad CVE-2026-23479 es una de cinco fallos de tipo RCE en Redis revelados el mes pasado, y sigue a la vulnerabilidad RediShell de 2025, también relacionada con el uso de Lua scripting. La detección de esta vulnerabilidad por una herramienta de inteligencia artificial resalta la importancia de implementar tecnologías avanzadas en la seguridad del software.