Redis закрыл уязвимость use-after-free в Lua-скриптинге (CVE-2026-23631) с риском RCE

Разработчики Redis выпустили исправления для пяти уязвимостей, в том числе use-after-free в подсистеме Lua-скриптинга, которая через механизм синхронизации master-replica может приводить к удалённому выполнению кода. CVSS-оценка проблемы — 6.1, для эксплуатации требуется аутентификация. Red Hat также опубликовала собственное уведомление по CVE-2026-23631.

Команда Redis, in-memory СУБД и хранилища структур данных, опубликовала сводное уведомление по пяти уязвимостям, среди которых — CVE-2026-23631, ошибка use-after-free в подсистеме Lua-скриптинга.

Согласно описанию, во всех версиях redis-server с Lua-скриптингом аутентифицированный злоумышленник может через механизм синхронизации master-replica спровоцировать use-after-free на репликах, где параметр replica-read-only выключен или может быть выключен, что потенциально ведёт к удалённому выполнению кода. CVSS-оценка — 6.1 (средний уровень).

В качестве временного обходного решения разработчики предлагают запретить пользователям выполнение Lua-скриптов либо отказаться от использования реплик с отключённым replica-read-only. Исправление включено в Redis 8.6.3 и более ранние поддерживаемые ветки; параллельно закрыты ещё четыре уязвимости — CVE-2026-23479, CVE-2026-25243, CVE-2026-25588 и CVE-2026-25589, три из которых получили оценку High и также связаны с риском RCE.

Red Hat выпустила собственное уведомление по CVE-2026-23631 для затронутых сборок Redis в своих продуктах.