Redis に2年間見逃されたRCE脆弱性、AI が発見

概要

Redis データベースに、認証済みユーザーが任意のOS コマンドを実行できる「use-after-free」（解放済みメモリの再利用）脆弱性（CVE-2026-23479）が存在していました。自律型AI ツールによって発見されたこの脆弱性は、Redis 7.2.0 で導入され、2年以上にわたり複数のセキュリティレビューをすり抜けました。CVSS スコアは8.8（高危険度）です。影響範囲は広く、クラウド環境の大多数で Redis が稼働しており、多くはパスワード保護されていません。脆弱性は blocking-client コード内の unblockClientOnKey() 関数に存在し、メモリ領域の段階的な改ざん、ヒープアドレス漏洩、偽クライアント構造体の注入、関数ポインタ改ざんという複雑な攻撃チェーンにより悪用されます。2023年1月と3月の異なるコード変更が組み合わさり脆弱性が生成されました。5月5日の修正適用が推奨されます。

元記事（The Hacker News）