Специалисты по информационной безопасности выявили сразу несколько критических уязвимостей в системе управления базами данных Valkey. Этот продукт является форком популярного хранилища данных Redis, и в последнее время он набирает обороты благодаря своей открытой лицензии. Злоумышленник, имеющий аутентификацию в системе, может использовать эти бреши для удаленного выполнения кода и провоцирования отказа в обслуживании. Под ударом оказались версии Valkey вплоть до 9.0.4, 8.1.7 и 7.2.13 включительно.
Детали уязвимостей
Всего было опубликовано три идентификатора CVE (единая система идентификации уязвимостей): CVE-2026-23479, CVE-2026-23631 и CVE-2026-25243. Каждая из них получила оценку по шкале CVSS (стандартная система оценки опасности уязвимостей) от среднего до высокого уровня. Первая уязвимость касается механизма разблокировки клиентов. Как пояснили разработчики, в версиях с 7.2.0 по 8.6.3 при повторном выполнении заблокированной команды обработчик ошибок не срабатывает должным образом. Если во время этого потока заблокированный клиент вытесняется из памяти, возникает использование после освобождения (то есть программа обращается к уже освобожденной области памяти). Это может привести к удаленному выполнению произвольного кода. Оценка CVSS для этой уязвимости составляет 7,7 балла - высокий уровень опасности.
Вторая уязвимость CVE-2026-23631 связана со сценариями на языке Lua. Во всех версиях Valkey, где есть поддержка Lua, аутентифицированный злоумышленник может воспользоваться механизмом синхронизации между ведущим узлом и репликами. Если на реплике отключена опция "только чтение" или ее можно отключить, атакующий провоцирует использование после освобождения на стороне реплики. Итог тот же - возможен запуск вредоносного кода. Оценка опасности чуть ниже - 6,1 балла (средняя), однако при наличии всех условий эксплуатация все равно крайне опасна.
Третья уязвимость CVE-2026-25243 кроется в команде RESTORE. Эта команда позволяет восстанавливать сериализованные значения, но в версиях вплоть до 8.6.3 она недостаточно проверяет входящие данные. Аутентифицированный злоумышленник с правом на выполнение RESTORE может передать специально сформированную полезную нагрузку. В результате происходит недопустимый доступ к памяти, что в худшем случае открывает путь к удаленному выполнению кода. Тип ошибки - переполнение буфера в куче. Оценка CVSS снова 7,7 балла.
Таким образом, все три уязвимости позволяют атакующему, уже имеющему доступ к Valkey (пусть и с ограниченными правами), полностью захватить контроль над сервером. Последствия для бизнеса могут быть катастрофическими. Утечка конфиденциальных данных, полная остановка работы сервисов, финансовые потери - все это становится реальностью, если не принять срочных мер.
Разработчики Valkey выпустили исправления. Безопасные версии: 9.0.4, 8.1.7 и 7.2.13. Для обладателей более старых сборок настоятельно рекомендуется как можно скорее обновиться. В качестве временной меры для CVE-2026-23631 можно запретить пользователям запускать сценарии Lua или отказаться от использования реплик с отключенным режимом "только чтение". Для CVE-2026-25243 есть возможность ограничить доступ к команде RESTORE с помощью правил ACL (список управления доступом). Однако эти меры лишь снижают риск, не устраняя корень проблемы. Полное исправление - только обновление.
Отметим, что уязвимости затрагивают не только сам Valkey, но и все совместимые системы, которые используют его код. В частности, оригинальный Redis также подвержен этим проблемам, так как патчи для Redis уже были выпущены в версии 8.6.3. Но поскольку Valkey является форком, он наследовал те же баги до момента, пока разработчики не внесли собственные исправления. Сейчас обе ветки считаются безопасными после установки последних обновлений.
Специалистам по информационной безопасности стоит проверить версии своих серверов и немедленно обновить их. Также рекомендуется провести аудит прав доступа: если есть возможность, следует минимизировать количество пользователей, имеющих права на выполнение команд RESTORE и написание сценариев Lua. В условиях роста популярности Valkey как альтернативы Redis с полностью открытой лицензией, подобные инциденты напоминают: безопасность не терпит компромиссов. Даже один пропущенный патч может привести к серьезной атаке.
В заключение подчеркнем: угроза реальна и уже документирована. Промедление с обновлением грозит не только отказом в обслуживании, но и полной компрометацией сервера. Все организации, использующие Valkey, должны в кратчайшие сроки перейти на защищенные версии.
Ссылки
- https://github.com/valkey-io/valkey/releases/tag/9.0.4
- https://github.com/valkey-io/valkey/releases/tag/8.1.7
- https://github.com/valkey-io/valkey/releases/tag/7.2.13
- https://www.cve.org/CVERecord?id=CVE-2026-25243
- https://www.cve.org/CVERecord?id=CVE-2026-23631
- https://www.cve.org/CVERecord?id=CVE-2026-23479
