無料スキャン
分析待ちCVE-2026-25243

CVE-2026-25243: RCE in Redis 8.6.3 以前

プラットフォーム

redis

コンポーネント

redis

修正版

8.6.3

NVDで見る
保存

Redisは、インメモリデータ構造ストアです。CVE-2026-25243は、Redis 8.6.3以前のバージョンにおけるRESTOREコマンドの脆弱性です。この脆弱性を悪用されると、攻撃者はリモートコードを実行できる可能性があります。バージョン8.6.3へのアップデート、またはACLによるRESTOREコマンドへのアクセス制限が推奨されます。

影響と攻撃シナリオ

このRCE脆弱性は、認証された攻撃者がRedisサーバー上で任意のコードを実行することを可能にします。攻撃者は、RESTOREコマンドを通じて悪意のあるシリアライズされたペイロードを注入し、メモリ破壊を引き起こし、最終的にシステム制御を奪う可能性があります。この脆弱性は、機密データの漏洩、システムの改ざん、さらにはネットワーク全体への攻撃の足掛かりとなる可能性があります。類似のシリアライズ脆弱性は、過去に様々なアプリケーションで悪用されており、Redisにおいても同様の攻撃が想定されます。

悪用の状況

本脆弱性は、2026年5月5日に公開されました。現時点では、KEVへの登録状況は不明です。EPSSスコアは評価待ちです。公開されているPOCは確認されていませんが、シリアライズ処理の脆弱性は過去に悪用事例が多数存在しており、今後積極的に悪用される可能性があります。NVDおよびCISAの情報を継続的に監視し、最新の動向を把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
NextGuard10–15% まだ脆弱

EPSS

0.09% (26% パーセンタイル)

影響を受けるソフトウェア

コンポーネントredis
ベンダーredis
最小バージョン1.0.0
最大バージョン< 8.6.3
修正版8.6.3

弱点分類 (CWE)

CWE-122

タイムライン

  1. 公開日
  2. 更新日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、まずRedisサーバーをバージョン8.6.3にアップデートすることを推奨します。アップデートが困難な場合は、RESTOREコマンドへのアクセスをACLルールで厳格に制限することで、攻撃のリスクを軽減できます。具体的には、信頼できるクライアントのみにRESTOREコマンドの実行権限を付与し、それ以外のアクセスを拒否するように設定します。また、WAFやプロキシサーバーを利用して、RESTOREコマンドに対する不正なリクエストを検知・遮断することも有効です。アップデート後、Redisサーバーのログを監視し、RESTOREコマンドの異常な使用がないか確認してください。

修正方法翻訳中…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis.  Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad.  Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.

よくある質問

CVE-2026-25243 — RCE in Redis 8.6.3 以前とは何ですか?

RedisのRESTOREコマンドにおけるリモートコード実行の脆弱性です。8.6.3以前のバージョンに影響し、攻撃者が悪意のあるペイロードを送信することで、サーバー上で任意のコードを実行できる可能性があります。

CVE-2026-25243 in Redis 8.6.3 以前の影響を受けていますか?

Redisのバージョンが8.6.3より前である場合、この脆弱性の影響を受ける可能性があります。バージョン情報を確認し、必要に応じてアップデートまたは緩和策を実施してください。

CVE-2026-25243 in Redis 8.6.3 以前を修正するにはどうすればよいですか?

Redisサーバーをバージョン8.6.3にアップデートすることを推奨します。アップデートが困難な場合は、ACLルールでRESTOREコマンドへのアクセスを制限してください。

CVE-2026-25243は積極的に悪用されていますか?

現時点では公開されている悪用事例はありませんが、シリアライズ処理の脆弱性は過去に悪用事例が多数存在しており、今後積極的に悪用される可能性があります。

CVE-2026-25243に関する公式Redisのアドバイザリはどこで入手できますか?

Redisの公式ウェブサイトまたはセキュリティアドバイザリページで、CVE-2026-25243に関する情報を確認してください。https://redis.io/docs/security/

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...