pduggusa/redis-cve-2026-23479-check

# redis-cve-2026-23479-check 一个针对 **CVE-2026-23479** 的**安全、只读**版本检测工具——这是 Redis 阻塞客户端代码中的释放后使用（use-after-free）漏洞，允许*已认证*用户在宿主机上实现远程代码执行（RCE）。 ## 为什么这很重要 “已认证”听起来令人放心，除非你想起 Redis 实际的默认部署方式：多年来它的默认设置一直是**无密码**，而且即使是现在，它通常也是内部**没有任何防火墙保护的*可信*缓存/队列/会话服务器。在一个扁平网络中，一个每个应用服务器都已经可以访问的组件上出现已认证的 RCE，简直就是横向移动的高速公路。截至撰写本文时，**还没有公开的 PoC**——这意味着你处于*爆发之前（left of the boom）*。这是防御者能站到的最有利位置。利用这一点：在漏洞利用落地之前，找出你暴露的实例并打好补丁。 ## 漏洞详情 - **CVE-2026-23479** · 阻塞客户端处理中的释放后使用（use-after-free）。当被阻塞的客户端在重新执行阻塞命令时被驱逐，已认证的用户可以触发 UAF → 潜在的 RCE。 - **引入版本：** Redis 7.2.0。存在于所有稳定分支中，直到 **2026-05-05** 的修复版本。 - **CVSS：** 8.8 (NVD, CVSS 3.1) · 7.7 (Redis, CVSS 4.0)。 - **修复版本：** `6.2.22`, `7.2.14`, `7.4.9`, `8.2.6`, `8.4.3`, `8.6.3`。 ## 使用说明 无需额外依赖——仅需 Python 3。 ``` python3 check.py [-p PORT] [-a PASSWORD] [--user ACL_USER] [--tls] [--insecure] ``` 示例： ``` python3 check.py 127.0.0.1 python3 check.py redis.internal -p 6380 -a "$REDIS_PASSWORD" python3 check.py redis.example.com --tls # cert verified by default python3 check.py redis.internal --tls --insecure # self-signed internal cert (opt-in) ``` 当已修复/不受影响时退出代码为 **0**，当需要采取行动（存在漏洞/需验证）时为 **1**，因此可以直接接入 CI： ``` python3 check.py "$REDIS_HOST" -a "$REDIS_PASSWORD" || echo "::warning::Redis needs the CVE-2026-23479 patch" ``` ## 如果提示存在漏洞 (VULNERABLE) 1. 为你的分支升级到上述对应的修复版本。 2. 对于任何无法立即打补丁的系统：**强制开启身份验证**并轮换密码，同时**将 Redis 端口置于网络策略之后**，以便只有需要它的服务才能访问它——而不是整个 VLAN。如果攻击者无法访问该端口且无法通过身份验证，那么已认证的 UAF 就是一个他们根本碰不到的漏洞。 ## 检测漏洞利用 请参阅 [`detection/redis-cve-2026-23479.sigma.yml`](detection/redis-cve-2026-23479.sigma.yml)——这是一个基于主机的 Sigma 规则，用于捕获任何 Redis RCE 的**结果**（即 `redis-server` 进程衍生出 shell 或意外的子进程），这比尝试对精确的漏洞利用数据包进行特征分析要稳健得多。 由 **DugganUSA** 威胁情报提供支持——包含超过 100 万个 IOC，STIX 2.1 订阅源，提供免费层级。 [analytics.dugganusa.com](https://analytics.dugganusa.com/stix/register) · 我们铸就坚盾，而非利刃。

标签：LNA, Python, Redis, Sigma规则, XXE攻击, 安全基线扫描, 无后门, 目标导入, 防御阵地