Захват сервера, утечка данных и выполнение кода. Что нужно знать об уязвимости DarkReplica в Redis
NewsMakerЧто нужно сделать прямо сейчас, если вы используете Redis.
Критическая уязвимость в Redis позволяла захватить сервер после авторизации и выполнить произвольный код. Проблема получила название DarkReplica . Обнаружив ошибку, автор получил $30 тыс. на соревновании ZeroDay.Cloud 2025 в Лондоне.
Уязвимость CVE-2026-23631 (CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:C — 8.5 (High)) затрагивает механизм репликации Redis, который используют, чтобы синхронизировать данные между серверами. Ошибка связана с тем, что память некорректно освобождается после того, как сервер подключается к подконтрольному злоумышленнику узлу. В результате атакующий мог заставить Redis продолжить работу с уже освобождёнными данными в памяти, что открывало путь к тому, чтобы выполнить собственный код на сервере.
Для атаки требовалась авторизация в Redis. Получив доступ, злоумышленник мог назначить сервер «репликой» подконтрольного узла и воспользоваться логической ошибкой в процессе синхронизации. Проблема возникала внутри встроенного механизма выполнения функций на языке Lua . В определённый момент Redis удалял используемое окружение Lua, но выполнение кода продолжалось, обращаясь к уже освобождённым областям памяти.
Дальнейшая эксплуатация оказалась крайне сложной и потребовала глубоко понять внутреннее устройство Redis и виртуальной машины Lua. Автор исследования разработал набор приёмов, чтобы читать и изменять содержимое памяти, а затем смог выполнить системные команды на целевом сервере.
Разработчики Redis устранили проблему 5 мая 2026 года. Исправления вошли в версии 7.2.14, 7.4.9, 8.2.6, 8.4.3 и 8.6.3. Уязвимость затрагивала все предыдущие выпуски соответствующих веток. Специалисты рекомендуют как можно быстрее установить обновления. Владельцам серверов Redis также советуют ограничить доступ к системе, использовать надёжные пароли и не оставлять экземпляры базы данных доступными из интернета без дополнительной защиты.
Критическая уязвимость в Redis позволяла захватить сервер после авторизации и выполнить произвольный код. Проблема получила название DarkReplica . Обнаружив ошибку, автор получил $30 тыс. на соревновании ZeroDay.Cloud 2025 в Лондоне.
Уязвимость CVE-2026-23631 (CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:C — 8.5 (High)) затрагивает механизм репликации Redis, который используют, чтобы синхронизировать данные между серверами. Ошибка связана с тем, что память некорректно освобождается после того, как сервер подключается к подконтрольному злоумышленнику узлу. В результате атакующий мог заставить Redis продолжить работу с уже освобождёнными данными в памяти, что открывало путь к тому, чтобы выполнить собственный код на сервере.
Для атаки требовалась авторизация в Redis. Получив доступ, злоумышленник мог назначить сервер «репликой» подконтрольного узла и воспользоваться логической ошибкой в процессе синхронизации. Проблема возникала внутри встроенного механизма выполнения функций на языке Lua . В определённый момент Redis удалял используемое окружение Lua, но выполнение кода продолжалось, обращаясь к уже освобождённым областям памяти.
Дальнейшая эксплуатация оказалась крайне сложной и потребовала глубоко понять внутреннее устройство Redis и виртуальной машины Lua. Автор исследования разработал набор приёмов, чтобы читать и изменять содержимое памяти, а затем смог выполнить системные команды на целевом сервере.
Разработчики Redis устранили проблему 5 мая 2026 года. Исправления вошли в версии 7.2.14, 7.4.9, 8.2.6, 8.4.3 и 8.6.3. Уязвимость затрагивала все предыдущие выпуски соответствующих веток. Специалисты рекомендуют как можно быстрее установить обновления. Владельцам серверов Redis также советуют ограничить доступ к системе, использовать надёжные пароли и не оставлять экземпляры базы данных доступными из интернета без дополнительной защиты.