Escanear grátis
Análise pendenteCVE-2026-25243

CVE-2026-25243: RCE no Redis 1.0.0–8.6.3

Plataforma

redis

Componente

redis

Corrigido em

8.6.3

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-25243 afeta o Redis, um armazenamento de estruturas de dados na memória, nas versões de 1.0.0 até 8.6.3. Um atacante autenticado com permissão para executar o comando RESTORE pode explorar essa falha, fornecendo um payload serializado malicioso que causa acesso inválido à memória, potencialmente levando à execução remota de código. A correção está disponível na versão 8.6.3.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar código arbitrário no servidor Redis com os privilégios do processo Redis. Isso pode levar ao comprometimento completo do sistema, incluindo roubo de dados, modificação de dados e instalação de malware. O impacto é amplificado se o Redis for usado como um cache ou armazenamento de sessão para aplicações web, pois um atacante pode potencialmente obter acesso a informações confidenciais ou assumir o controle das aplicações web. A capacidade de executar código remotamente torna esta vulnerabilidade particularmente crítica, similar a outras falhas de RCE que permitiram acesso irrestrito a sistemas.

Contexto de Exploração

A vulnerabilidade CVE-2026-25243 foi publicada em 05 de maio de 2026. A probabilidade de exploração é considerada média, devido à necessidade de autenticação e conhecimento do comando RESTORE. Não há evidências públicas de exploração ativa em campanhas direcionadas no momento da publicação. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database) no momento da redação. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para atualizações.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
NextGuard10–15% ainda vulneráveis

EPSS

0.09% (percentil 26%)

Software Afetado

Componenteredis
Fornecedorredis
Versão mínima1.0.0
Versão máxima< 8.6.3
Corrigido em8.6.3

Classificação de Fraqueza (CWE)

CWE-122

Linha do tempo

  1. Publicada
  2. Modificada
  3. EPSS atualizado

Mitigação e Soluções Alternativas

A mitigação primária é atualizar o Redis para a versão 8.6.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, uma solução alternativa é restringir o acesso ao comando RESTORE usando regras de Controle de Acesso (ACL). Configure ACLs para garantir que apenas usuários confiáveis possam executar o comando RESTORE. Além disso, monitore os logs do Redis em busca de tentativas suspeitas de uso do comando RESTORE. Se a atualização for problemática, considere um rollback para uma versão anterior conhecida por ser segura, mas avalie cuidadosamente o impacto na funcionalidade.

Como corrigirtraduzindo…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis.  Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad.  Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.

Perguntas frequentes

O que é CVE-2026-25243 — RCE no Redis?

CVE-2026-25243 é uma vulnerabilidade de Execução Remota de Código (RCE) no Redis, afetando versões de 1.0.0 até 8.6.3. Permite que um atacante execute código no servidor Redis através do comando RESTORE.

Estou afetado pelo CVE-2026-25243 no Redis?

Se você estiver utilizando o Redis nas versões 1.0.0 até 8.6.3 e o comando RESTORE não estiver devidamente restrito por ACLs, você está potencialmente afetado.

Como corrigir o CVE-2026-25243 no Redis?

A correção é atualizar o Redis para a versão 8.6.3 ou superior. Como alternativa, restrinja o acesso ao comando RESTORE com regras de ACL.

O CVE-2026-25243 está sendo ativamente explorado?

Até o momento da publicação, não há evidências públicas de exploração ativa em campanhas direcionadas, mas a vulnerabilidade é considerada crítica devido ao seu potencial impacto.

Onde posso encontrar o advisory oficial do Redis para o CVE-2026-25243?

Consulte o site oficial do Redis e o NVD (National Vulnerability Database) para o advisory oficial e informações adicionais sobre a vulnerabilidade.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...