Redis behebt kritischen RCE-CVE-2026-23479, der zwei Jahre unsichtbar blieb und durch ein autonomes KI-Tool entdeckt wurde

Am 4. Juni publizierte Redis fünf Sicherheitswarnungen für den am häufigsten verwendeten Cache-Server in Unternehmensanwendungen, insbesondere hervorzuhebend die CVE-2026-23479, eine Remote-Code-Ausführungsanfälligkeit im Entsperrpfad von Clients. Der Fehler erhielt einen CVSS 3.1 von 8.8 und einen CVSS 4.0 von 7.7 und war seit der Version 7.2.0, die im August 2023 veröffentlicht wurde, vorhanden. Er blieb über zwei Jahre unentdeckt.

Die Entdeckung erfolgte durch ein autonomes Bug-Bounty-Tool, das von KI unterstützt wurde, laut den Angaben von Team Xint Code, das eine vollständige Ausnutzungs-Kette demonstrierte. Die verletzliche Funktion ist unblockClientOnKey(), in src/blocked.c. Die Logik, die blockierte Befehle neu ausführt, behandelt den Fehler von processCommandAndResetClient nicht und verwendet weiterhin einen bereits freigegebenen Clientzeiger. Der veröffentlichte Exploit beginnt mit einem Lua-Skript, das einen Zeiger auf den Heap auslöst, die Speichermanipulation des Clients durchführt, um den Use-after-Free-Effekt zu erzwingen, und endet damit, einen Funktionszeiger in der Global Offset Table zu überschreiben, um die Ausführung auf system() umzuleiten.

Die Ausnutzung ist nicht trivial, aber die Auswirkungen sind es

Die Ausnutzung erfordert eine authentifizierte Sitzung gegen den Redis-Server und die Fähigkeit, blockierende Befehle wie BLPOP oder XREAD auszuführen. In korrekt segmentierten Umgebungen beschränkt dies den Vektor auf Angreifer, die bereits gültige Anmeldeinformationen besitzen. Für Cassio Goldschmidt, ehemaligen Sicherheitsproduktleiter bei Symantec und heute Berater für Anwendungssicherheit, ist dies ein gängiges Szenario bei Angriffen nach dem initialen Zugriff, bei dem der Angreifer bereits Anmeldeinformationen durch Phishing oder durch einen AWS-Schlüssel, der in einem Repository ausgesetzt war, erlangt hat.

In den meisten Produktionsbereitstellungen befindet sich Redis in internen Netzwerken und wird von Dienstkonten mit weitreichenden Berechtigungen zugegriffen. Die betroffenen Versionen reichen von 7.2.x bis 8.6.x, was praktisch das gesamte Redis in Produktion abdeckt, das seit 2023 aktualisiert wurde. Die korrigierten Versionen sind 7.2.14, 7.4.9, 8.2.6, 8.4.3 und 8.6.3.

Vier weitere CVEs in derselben Warnung

Neben der CVE-2026-23479 behandelte Redis in derselben Warnung auch die CVE-2026-25243, CVE-2026-25588, CVE-2026-25589 und CVE-2026-23631. Keine erreicht den gleichen CVSS, aber drei von ihnen betreffen ebenfalls den Hauptserver und erfordern einen koordinierten Patch. Die Kombination macht das aktuelle Fenster zu einem der relevantesten Remediationsereignisse des Jahres für Plattform-Teams und ist vergleichbar mit der Atlassian-Warnung im Januar, die Confluence Data Center betroffen hat.

Die Art und Weise, wie die Schwachstelle entdeckt wurde, ist ebenso wichtig wie der Fehler selbst. Der Fluss unblockClientOnKey ist genau der Typ von Randweg, der der menschlichen Prüfung entgeht: Er hängt von einer ungewöhnlichen Abfolge von Befehlen, von Timing zwischen Threads und von Fehlerbehandlungen ab, die in traditionellen Fuzzern kaum getestet werden. Die Gruppe von Xint Code beschreibt in ihrem Bericht eine autonome Ausführung, die Monate der Prüfung in Stunden abdeckte. "Die Grenzkosten für die Prüfung von Open-Source-Code sind unverhältnismäßig gefallen für diejenigen, die diese Werkzeuge betreiben", schrieb das Team.

Was sich für die Plattform-Teams ändert

Redis Inc. vertreibt den Core-Server seit 2024 unter der RSAL- und SSPL-Lizenz, aber der Großteil der Unternehmenseinrichtungen betreibt intern erstellte Images oder von Plattform-Teams gepflegte Pakete. Das bedeutet, dass der Remediationszyklus nicht durch einen einzigen Anbieter erfolgt; jedes Cluster muss von seinem eigenen Team in der Geschwindigkeit seines eigenen Change Managements aktualisiert werden. Für Goldman Sachs, Itaú, UBS und jede Bank, die Hunderte von Redis-Instanzen für das Caching von Sitzungen und Verarbeitungswarteschlangen betreibt, sind dies Wochen mit offenen Fenstern.

Die operative Implikation zeigt sich auf drei Ebenen. B2B-SaaS-Betreiber mit Multi-Tenant-Redis müssen vor dem Zeitpunkt patchen, bevor kompromittierte Anmeldeinformationen eines Kunden zu RCE auf dem gesamten Host werden. Plattform-Teams in Banken und im Einzelhandel müssen die Bereitstellung von korrigierten Images beschleunigen, unter der bekannten Herausforderung, dass BLPOP und XREAD weit verbreitete Warteschlangenprimitive in der Produktion sind. Verwaltete Anbieter, einschließlich AWS ElastiCache, Google Memorystore und Azure Cache for Redis, haben noch keinen öffentlichen Zeitplan für automatische Anwendung veröffentlicht, und Kunden, die selbstverwaltete Versionen ausführen, sind auf sich allein gestellt.

Der Fall bietet eine neue Datenbasis für CISOs, die entscheiden, wo sie ihre Budgets für autonome Sicherheitstools einsetzen wollen. Das Team Xint Code hat gezeigt, dass dieser Ansatz zur Identifikation von Zero-Day-Schwachstellen in reifem Code viabel ist. Der relevante Gegenpunkt, der von Tavis Ormandy im Google Project Zero im Jahr 2025 angesprochen wurde, ist, dass diese Werkzeuge immer noch signifikante menschliche Validierung benötigen, bevor sie als akzeptierte Berichte von Upstream betrachtet werden. Die nächste Woche wird zeigen, ob andere Betreiber den gleichen Typ von koordinierter Veröffentlichung von Xint für andere kritische Projekte erhalten.