valkey-io valkey bis 7.2.11/8.0.6/8.1.5/9.0.1 Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in valkey-io valkey bis 7.2.11/8.0.6/8.1.5/9.0.1 ausgemacht. Es betrifft eine unbekannte Funktion. Mit der Manipulation mit unbekannten Daten kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2026-21863 vorgenommen. Der Angriff kann remote ausgeführt werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine Schwachstelle wurde in valkey-io valkey bis 7.2.11/8.0.6/8.1.5/9.0.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Codeteil. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-125. Auswirkungen hat dies auf Vertraulichkeit und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
Valkey is a distributed key-value database. Prior to versions 9.0.2, 8.1.6, 8.0.7, and 7.2.12, a malicious actor with access to the Valkey clusterbus port can send an invalid packet that may cause an out bound read, which might result in the system crashing. The Valkey clusterbus packet processing code does not validate that a clusterbus ping extension packet is located within buffer of the clusterbus packet before attempting to read it. Versions 9.0.2, 8.1.6, 8.0.7, and 7.2.12 fix the issue. As an additional mitigation, don't expose the cluster bus connection directly to end users, and protect the connection with its own network ACLs.Bereitgestellt wird das Advisory unter github.com. Die Verwundbarkeit wird seit dem 05.01.2026 mit der eindeutigen Identifikation CVE-2026-21863 gehandelt. Sie gilt als leicht ausnutzbar. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 299879 (Linux Distros Unpatched Vulnerability : CVE-2026-21863) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 7.2.12, 8.0.7, 8.1.6 oder 9.0.2 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (299879) und CERT Bund (WID-SEC-2026-0546) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Debian Linux
- Red Hat Enterprise Linux
- Ubuntu Linux
- SUSE Linux
- Oracle Linux
- RESF Rocky Linux
Produkt
Hersteller
Name
Version
- 7.2.0
- 7.2.1
- 7.2.2
- 7.2.3
- 7.2.4
- 7.2.5
- 7.2.6
- 7.2.7
- 7.2.8
- 7.2.9
- 7.2.10
- 7.2.11
- 8.0.0
- 8.0.1
- 8.0.2
- 8.0.3
- 8.0.4
- 8.0.5
- 8.0.6
- 8.1.0
- 8.1.1
- 8.1.2
- 8.1.3
- 8.1.4
- 8.1.5
- 9.0.0
- 9.0.1
Webseite
- Produkt: https://github.com/valkey-io/valkey/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.4VulDB Meta Temp Score: 6.3
VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 7.5
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-125 / CWE-119
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 299879
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-21863
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: valkey 7.2.12/8.0.7/8.1.6/9.0.2
Timeline
05.01.2026 CVE zugewiesen24.02.2026 Advisory veröffentlicht
24.02.2026 VulDB Eintrag erstellt
19.05.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-c677-q3wr-gggq
Status: Bestätigt
CVE: CVE-2026-21863 (🔒)
GCVE (CVE): GCVE-0-2026-21863
GCVE (VulDB): GCVE-100-347453
CERT Bund: WID-SEC-2026-0546 - Red Hat Enterprise Linux (Valkey): Mehrere Schwachstellen
Eintrag
Erstellt: 24.02.2026 07:20Aktualisierung: 19.05.2026 18:37
Anpassungen: 24.02.2026 07:20 (64), 25.02.2026 09:54 (2), 27.02.2026 13:59 (7), 19.05.2026 18:37 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.