Toma de control del servidor, filtración de datos y ejecución de código: qué hay que saber sobre la vulnerabilidad DarkReplica en Redis
Qué hacer ahora mismo si usas Redis
Una vulnerabilidad crítica en Redis permitía comprometer el servidor tras la autenticación y ejecutar código arbitrario. El problema recibió el nombre DarkReplica. Al descubrir el fallo, el autor obtuvo $30,000 en la competición ZeroDay.Cloud 2025 en Londres.
La vulnerabilidad CVE-2026-23631 (CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:C — 8.5 (Alta)) afecta al mecanismo de replicación de Redis, que se usa para sincronizar datos entre servidores. El error está relacionado con la liberación incorrecta de memoria después de que el servidor se conecta a un nodo controlado por un atacante. Como resultado, el atacante podía hacer que Redis siguiera operando con datos ya liberados en memoria, lo que abría la posibilidad de ejecutar su propio código en el servidor.
Para el ataque se requería autenticación en Redis. Tras obtener acceso, el atacante podía designar al servidor como «réplica» de un nodo controlado y aprovechar un error lógico en el proceso de sincronización. El problema surgía dentro del mecanismo integrado de ejecución de funciones en el lenguaje Lua. En un momento determinado Redis eliminaba el entorno Lua en uso, pero la ejecución del código continuaba accediendo a áreas de memoria ya liberadas.
La posterior explotación resultó extremadamente compleja y requirió comprender a fondo la arquitectura interna de Redis y la máquina virtual de Lua. El autor del estudio desarrolló un conjunto de técnicas para leer y modificar el contenido de la memoria, y posteriormente pudo ejecutar comandos del sistema en el servidor objetivo.
Los desarrolladores de Redis solucionaron el problema el 5 de mayo de 2026. Las correcciones se incluyeron en las versiones 7.2.14, 7.4.9, 8.2.6, 8.4.3 y 8.6.3. La vulnerabilidad afectaba a todas las versiones anteriores de las ramas correspondientes. Los especialistas recomiendan instalar las actualizaciones lo antes posible. A los propietarios de servidores Redis también se les aconseja limitar el acceso al sistema, usar contraseñas seguras y no dejar instancias de la base de datos accesibles desde internet sin protección adicional.