Autonomous AI Tool Finds 2-Year-Old RCE Flaw in Redis (CVE-2026-23479)
Fonte: The Hacker News | Jurisdição: Internacional | Tipo: Notícia
Redis has patched a use-after-free in its blocking-client code that lets an authenticated user run arbitrary OS commands on the machine hosting the database. The flaw was found by an autonomous AI tool built to hunt bugs in large codebases. Tracked as CVE-2026-23479, the flaw was introduced in Redis 7.2.0 and remained in every stable branch until the May 5 fixes, unnoticed for over two years.
Redis divulgou correção para vulnerabilidade de use-after-free (CVE-2026-23479) em seu código de cliente bloqueante, permitindo que usuários autenticados executem comandos arbitrários no sistema operacional hospedeiro do banco de dados. A falha foi identificada por ferramenta autônoma de IA desenvolvida para detecção de bugs em grandes bases de código. Introduzida na versão Redis 7.2.0, permaneceu não detectada em todas as ramificações estáveis por mais de dois anos até correção em 5 de maio. O incidente evidencia: (1) risco de exposição prolongada de vulnerabilidades críticas em software amplamente utilizado; (2) potencial de ferramentas de IA para descoberta de falhas históricas; (3) necessidade de revisão de código legado em componentes de infraestrutura crítica. Impacto esperado inclui recomendação urgente de atualização para versões corrigidas, auditoria de logs de acesso autenticado em instâncias Redis afetadas, e revisão de controles de acesso a bases de dados. Organizações utilizando Redis 7.2.0 ou versões posteriores até maio de 2026 devem priorizar patch de segurança.
Fonte original: The Hacker News