Ferramenta de IA encontra falha crítica no Redis com dois anos de existência

A CVE-2026-23479 representa um caso típico de vulnerabilidade de use-after-free que se propaga através de múltiplas camadas de execução. O fluxo de ataque encadeia um heap leak via scripts Lua, seguido de despejo forçado de memória e sobrescrita da tabela GOT (Global Offset Table) da função strcasecmp(), permitindo que a function system() seja acionada. Isso resulta em execução remota de código com os privilégios do daemon Redis, transformando uma autenticação válida em um vetor de acesso total ao servidor. A severidade CVSS 7.7 reflete o requisito de autenticação, mas em ambientes corporativos onde múltiplos microsserviços interagem com Redis, esse pré-requisito pode ser trivial de contornar.

Diferentemente de vulnerabilidades recentes em ferramentas como Flowise e Kopia que permitem RCE sem autenticação, essa falha no Redis exige credenciais válidas, o que reduz o escopo de ataque direto na internet. Contudo, em arquiteturas internas ou em pipelines de CI/CD onde Redis atua como cache compartilhado, a exploração é viável. A existência da falha há dois anos, desde a versão 7.2.0, sugere que o bug foi introduzido durante uma refatoração da função unblockClientOnKey() e persistiu através de múltiplas releases.

A descoberta desta vulnerabilidade marca um padrão emergente em 2026: ferramentas de IA de verificação estática (como o Codex que identificou a falha HTTP/2 Bomb) estão encontrando bugs críticos que permaneceram despercebidos por anos em projetos amplamente utilizados. No caso do Redis, uma falha que coexistiu silenciosamente por dois anos foi revelada apenas quando análise automatizada de segurança foi aplicada sistematicamente. Isso contrasta com vulnerabilidades como a do Gitea (que durou quatro anos antes da descoberta) e reforça que a automação de auditoria de código é agora um diferencial crítico para identificação de regressões silenciosas em codebases estáveis.

Redis é uma das infraestruturas mais críticas em ambientes cloud-native, servindo cache, sessões e fila de tarefas para bilhões de requisições diárias. Uma falha que permite RCE autenticada em todas as versões stable desde 7.2.0 afeta uma ampla gama de aplicações, desde startups até grandes corporações. A necessidade de patches imediatos em cinco versões diferentes (7.2.14, 7.4.9, 8.2.6, 8.4.3 e 8.6.3) indica que o Redis mantém múltiplas branches ativas, complicando a governança de patches em organizações com infraestrutura heterogênea.

Este incidente reforça uma tendência observada na cobertura de segurança do CEVIU: vulnerabilidades críticas em componentes de infraestrutura open-source estão se tornando mais frequentes e duráveis. A recomendação de restringir comandos CONFIG, @scripting e stream é um controle defensivo temporário, mas a atualização é obrigatória. Ambientes que não conseguem fazer patching rápido devem reavaliação imediata de seus níveis de risco e isolamento de rede do Redis.