Auf den Punkt: Eine autonome KI-Schwachstellen-Jägerin identifizierte eine zwei Jahre alte RCE-Lücke in Redis (CVE-2026-23479), die authentifizierten Angreifern Code-Ausführung ermöglichte und erst mit Patches vom 5. Mai 2026 geschlossen wurde.
Redis hat einen Use-after-free-Fehler in seiner Blocking-Client-Implementierung geschlossen, der authentifizierten Nutzern ermöglichte, beliebige OS-Befehle auf dem Datenbankserver auszuführen. Die Sicherheitslücke (CVE-2026-23479) bestand seit Redis 7.2.0 unentdeckt.
Die Sicherheitslücke CVE-2026-23479 wurde als Use-after-free-Fehler im Blocking-Client-Code von Redis klassifiziert. Sie existierte seit der Einführung in Redis 7.2.0 und war in allen stabilen Branches vorhanden, bis Redis sie am 5. Mai 2026 patched. Damit blieb die Flaw über zwei Jahre lang unbemerkt.
Der Fehler erlaubte authentifizierten Nutzern die Ausführung beliebiger Betriebssystembefehle auf dem Server, auf dem die Redis-Instanz läuft. Dies stellt ein erhebliches Risiko für alle Organisationen dar, die Redis in ihren kritischen Infrastrukturen einsetzen und noch nicht auf gepatchte Versionen aktualisiert haben.
Besonderheit des Falles: Entdeckt wurde CVE-2026-23479 durch ein autonomes KI-Werkzeug, das speziell dafür entwickelt wurde, Fehler in großen Codebases systematisch zu durchsuchen. Dies verdeutlicht den Nutzen von automatisierten Analyse-Tools bei der Schwachstellenidentifikation in komplexer Open-Source-Software. CISOs sollten ihre Redis-Deployments überprüfen und sicherstellen, dass alle Instanzen auf Versionen ab Mai 5, 2026 aktualisiert sind oder Zugriffskontrollmaßnahmen für die Blocking-Client-Funktionalität implementiert haben.
Quelle: thehackernews.com · Erschienen 3. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.9.