Se ha emitido un aviso de seguridad de alta prioridad advirtiendo sobre el descubrimiento de cinco peligrosas vulnerabilidades en el ecosistema Redis. Estos fallos exponen a las implementaciones de Redis Cloud, Redis Software y todas las ediciones comunitarias de código abierto (OSS) a ataques de Ejecución Remota de Código (RCE). El boletín, publicado el 5 de mayo de 2026, destaca que aunque todas las fallas requieren que el atacante cuente con acceso autenticado, su explotación exitosa permite el compromiso total del sistema, la exfiltración masiva de datos o la disrupción del servicio. Cuatro de las vulnerabilidades fueron calificadas con severidad Alta (CVSS de 7.7), mientras que una recibió una calificación Media (CVSS de 6.1).
Anatomía de las Vulnerabilidades
Las fallas reportadas aprovechan debilidades en el manejo de memoria y en los flujos de comandos internos del motor de bases de datos:
- CVE-2026-23479 (Use-After-Free en Clientes Bloqueados): Esta vulnerabilidad crítica se desencadena en el flujo de desbloqueo de clientes. Cuando un cliente bloqueado es expulsado (evicted) de la memoria mientras intenta re-ejecutar un comando, el código falla al manejar el error retornado por la función interna processCommandAndResetClient. Esto permite a un usuario autenticado desencadenar una condición de “uso después de liberación” (Use-After-Free) y lograr la ejecución remota de código.
- CVE-2026-25243 (Comando RESTORE): Afecta al comando de restauración nativo de Redis. Un atacante autenticado puede enviar una carga útil serializada y específicamente manipulada para forzar un acceso inválido a la memoria, lo que puede derivar en RCE directamente dentro del contexto del proceso del servidor Redis.
- Abuso de Sincronización Master-Réplica: Descubierta por el investigador Yoni Sherez, esta falla permite a un usuario autenticado abusar del mecanismo de sincronización. Afecta a todas las versiones de Redis con la ejecución de scripts de Lua habilitada y compromete específicamente a las réplicas que tengan desactivada la configuración de solo lectura (replica-read-only disabled).
Impacto (Riesgo en Bases de Datos en Memoria)
- Compromiso Total del Host: Al lograr la Ejecución Remota de Código, un actor de amenazas puede escapar del entorno de la base de datos y obtener control sobre el sistema operativo del servidor. Desde allí, el servidor Redis puede utilizarse como cabeza de playa para movimiento lateral, despliegue de ransomware o establecimiento de persistencia.
- Secuestro de Caché y Sesiones: Al contar con acceso irrestricto, los atacantes pueden robar o manipular datos altamente sensibles que habitualmente se almacenan en la caché rápida de Redis, como tokens de sesión de usuarios, llaves de API y configuraciones de infraestructura web.
Recomendaciones y Mitigación
Dado que la explotación requiere autenticación, el vector principal de contención radica en las políticas de identidad y acceso:
- Parcheo Inmediato (Prioridad Alta): Aplicar sin demora los parches oficiales de seguridad emitidos por Redis para las instancias corporativas y OSS afectadas.
- Higiene de Autenticación y Modo Protegido: Es imperativo imponer una autenticación fuerte (contraseñas robustas y ACLs restrictivas) en todas las instancias. Además, se debe garantizar que la configuración protected-mode permanezca estrictamente habilitada en todos los despliegues de Community Edition (CE) y OSS para evitar que las instancias queden expuestas accidentalmente a redes públicas no confiables.
- Cacería de Amenazas (Monitoreo Activo): Los equipos del Centro de Operaciones de Seguridad (SOC) deben configurar alertas para detectar posibles indicadores de explotación. Esto incluye:
- Múltiples intentos de acceso no autorizado.
- Caídas inexplicables del servidor de bases de datos que generen trazas de pila (stack traces) asociadas al motor Lua.
- Ejecución de comandos anómalos o de sistema por parte del usuario redis-server.
- Cualquier modificación inesperada en los archivos persistentes o de configuración de Redis.
