### Amenaza de RCE descubierta por IA pone en riesgo implementaciones de Redis Una vulnerabilidad crítica de ejecución remota de código (RCE), rastreada como **CVE-2026-23479**, ha sido parcheada en el popular almacén de datos en memoria de código abierto, **Redis**. Esta falla de uso después de liberado permite a un atacante autenticado ejecutar comandos arbitrarios del sistema operativo en la máquina que aloja la base de datos, representando un riesgo de seguridad significativo para los sistemas afectados. La vulnerabilidad fue descubierta de forma única por **Xint Code**, una herramienta autónoma de seguridad con IA desarrollada por **Theori** y reportada por **Team Xint Code**. Esto resalta el panorama cambiante de la investigación de vulnerabilidades, donde la IA juega cada vez más un papel en la identificación de errores complejos en grandes bases de código.  ### La Vulnerabilidad: CVE-2026-23479 Explicada El error de uso después de liberado reside en la función `unblockClientOnKey()` dentro de `src/blocked.c`, que se activa cuando un evento de clave despierta un comando bloqueado. La función despacha el comando en cola a través de `processCommandAndResetClient()`. Crucialmente, `processCommandAndResetClient()` puede, como efecto secundario, liberar el puntero del cliente que recibe. Sin embargo, el llamador de `unblockClientOnKey()` procede luego a usar este puntero de cliente ya liberado, lo que lleva a una condición clásica de uso después de liberado (CWE-416). Esta falla se introdujo en **Redis** 7.2.0 y permaneció presente en todas las ramas estables hasta su corrección el 5 de mayo, habiendo pasado desapercibida durante más de dos años. La Base de Datos Nacional de Vulnerabilidades (NVD) la califica con 8.8 bajo CVSS 3.1, mientras que **Redis** la lista con 7.7 bajo CVSS 4.0. Un análisis técnico detallado ha sido publicado por **Wiz**. ### Cómo se Desarrolla el Exploit La cadena de exploit, demostrada por **Team Xint Code** en la competencia ZeroDay.Cloud 2025 de **Wiz**, es sofisticada e involucra varias etapas: 1. **Fuga de Dirección del Heap**: Se utiliza un script Lua de una línea (`EVAL "return tostring(redis.call)" 0`) para filtrar un puntero del heap. 2. **Manipulación de Memoria e Inyección de Cliente Falso**: El atacante manipula los límites de memoria del cliente, estaciona un cliente grande en un stream, luego reduce los límites y lo despierta. Esto hace que **Redis** libere el cliente bloqueado a mitad de llamada. Un comando `SET` en pipeline reclama inmediatamente el espacio de memoria liberado con una estructura de cliente falso elaborada. 3. **Sobrescritura de Puntero de Función**: La contabilidad de memoria rutinaria de **Redis** en `updateClientMemoryUsage()` se aprovecha para realizar un decremento fuera de límites utilizando campos controlados por el atacante. Esto apunta a la Tabla de Desplazamiento Global (GOT) para redirigir el puntero de la función `strcasecmp()` a `system()`. El siguiente comando analizado por **Redis** se ejecuta entonces como un comando de shell. La imagen predeterminada de **Redis Docker** simplifica aún más la etapa final al incluir solo RELRO parcial, dejando la GOT escribible en tiempo de ejecución. ### Prerrequisitos y Exposición en la Nube Explotar **CVE-2026-23479** requiere una sesión autenticada con categorías ACL específicas: `@admin`, `CONFIG SET`, `EVAL`, comandos de stream (`XREAD`/`XADD`), y `SET`/`GET` básicos. Si bien estos pueden parecer restrictivos, en muchas implementaciones predeterminadas de **Redis**, el usuario predeterminado posee todos estos privilegios. El análisis de **Wiz** destaca una preocupación significativa: una gran mayoría de las instancias de **Redis** en entornos de nube se ejecutan sin contraseña. Esta configuración generalizada aumenta drásticamente la superficie de ataque, ya que un atacante solo necesita obtener acceso inicial a la instancia de **Redis** para lograr potencialmente RCE.  ### Acción Inmediata Requerida: Parcheo y Mitigación **Redis** ha lanzado parches para esta vulnerabilidad, y se recomiendan encarecidamente las actualizaciones inmediatas. Las ramas afectadas y sus versiones corregidas correspondientes son: | Rama | Versiones Afectadas | Versión Corregida | | :--- | :------------------ | :---------------- | | 7.2.x | 7.2.0 a 7.2.13 | 7.2.14 | | 7.4.x | 7.4.0 a 7.4.8 | 7.4.9 | | 8.2.x | 8.2.0 a 8.2.5 | 8.2.6 | | 8.4.x | 8.4.0 a 8.4.2 | 8.4.3 | | 8.6.x | 8.6.0 a 8.6.2 | 8.6.3 | Las actualizaciones menores dentro de una serie están diseñadas para ser reemplazos directos. Los servicios **Redis** administrados están implementando parches según sus propios cronogramas, con **Redis Cloud** ya actualizado. Si el parcheo inmediato no es factible, implemente las siguientes mitigaciones: * **Segmentación de Red**: Mantenga las instancias de **Redis** fuera de Internet y detrás de firewalls robustos. * **Cifrado TLS**: Asegúrese de que toda la comunicación de **Redis** esté protegida con TLS. * **ACLs Estrictas**: Refuerce las Listas de Control de Acceso (ACLs) para evitar que cualquier rol único posea privilegios `@admin`, `CONFIG`, y `@scripting` concurrentemente. * **Deshabilitar Scripting Lua**: Si no se utiliza activamente, niegue la categoría ACL `@scripting`, lo que impide la fuga del heap de Etapa 1. * **Rotación de Credenciales**: Rote cualquier credencial de **Redis** compartida ampliamente. Priorice el parcheo y la mitigación para las instancias expuestas a Internet, aquellas con credenciales de aplicación compartidas y cualquier rol que combine acceso `CONFIG`, scripting y stream. ### Un Contexto Más Amplio **CVE-2026-23479** es una de las cinco fallas de **Redis** de clase RCE divulgadas el mes pasado, y sigue a la falla **RediShell** de 2025, otro uso después de liberado autenticado que involucra scripting Lua. El hecho de que una herramienta de IA, en lugar de una revisión de código tradicional, haya identificado esta vulnerabilidad de larga data subraya la necesidad de innovación continua en seguridad y metodologías de prueba robustas en software crítico. Si bien no hay evidencia pública de explotación en la naturaleza todavía, los detalles técnicos completos ahora son públicos, lo que aumenta significativamente el riesgo.