分析待定CVE-2026-25243

CVE-2026-25243: RCE in Redis 8.6.3 及更早版本

Q: 什么是 CVE-2026-25243 — 远程代码执行漏洞在 Redis 中？

CVE-2026-25243 是 Redis 1.0.0 到 8.6.3 版本中发现的一个远程代码执行漏洞，攻击者可以通过 RESTORE 命令利用序列化验证不足来执行恶意代码。

Q: 我是否受到 CVE-2026-25243 在 Redis 中影响？

如果您正在使用 Redis 1.0.0 到 8.6.3 版本的 Redis，则可能受到此漏洞的影响。请立即检查您的 Redis 版本并采取相应的缓解措施。

Q: 如何修复 CVE-2026-25243 在 Redis 中？

最有效的修复方法是升级到 Redis 8.6.3 或更高版本。如果无法升级，请使用 ACL 规则限制对 RESTORE 命令的访问。

Q: CVE-2026-25243 是否正在被积极利用？

目前尚未观察到大规模的利用，但由于漏洞的严重性，预计未来可能会出现利用案例。建议密切关注安全动态。

Q: 在哪里可以找到官方 Redis 关于 CVE-2026-25243 的安全公告？

请访问 Redis 官方网站或 GitHub 仓库，查找关于 CVE-2026-25243 的安全公告和更新。

平台

redis

组件

redis

修复版本

8.6.3

在NVD查看

保存

CVE-2026-25243 描述了 Redis 内存数据结构存储中存在的一个远程代码执行 (RCE) 漏洞。该漏洞源于 RESTORE 命令对序列化值的验证不足，允许经过身份验证的攻击者在具有执行 RESTORE 权限的情况下，通过提供恶意构造的序列化有效载荷触发内存访问错误，从而可能导致远程代码执行。此漏洞影响 Redis 1.0.0 到 8.6.3 版本，建议尽快升级到 8.6.3 以缓解风险。

影响与攻击场景

攻击者利用此漏洞可以完全控制受影响的 Redis 服务器。他们可以执行任意代码，窃取敏感数据（例如，缓存的应用程序数据、用户会话信息、数据库连接字符串），甚至可能利用 Redis 服务器作为跳板，进行横向移动攻击，影响整个网络。由于 Redis 经常被用作缓存和会话存储，因此该漏洞的潜在影响非常大。如果 Redis 服务器存储了敏感的应用程序数据或用户凭据，攻击者可以窃取这些数据并将其用于恶意目的。此外，如果 Redis 服务器与其他系统具有网络连接，攻击者可以利用此漏洞进行横向移动，访问其他系统并窃取更多数据。

利用背景

目前，该漏洞的公开利用代码 (POC) 尚未广泛传播，但由于其潜在的严重性，预计未来可能会出现。该漏洞已在 2026 年 5 月 5 日发布，目前尚未出现在 KEV 或 EPSS 列表中，因此风险评估等级为待定。建议密切关注安全社区的动态，并及时采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

NextGuard10–15% 仍然脆弱

EPSS

0.09% (26% 百分位)

受影响的软件

组件redis

供应商redis

最低版本1.0.0

最高版本< 8.6.3

修复版本8.6.3

弱点分类 (CWE)

CWE-122

时间线

发布日期2026-05-05
修改日期2026-05-06
EPSS 更新日期2026-05-13

缓解措施和替代方案

最有效的缓解措施是立即将 Redis 升级到 8.6.3 或更高版本。如果由于兼容性问题无法立即升级，则可以考虑使用访问控制列表 (ACL) 规则来限制对 RESTORE 命令的访问。具体来说，应仅允许受信任的用户或应用程序执行 RESTORE 命令。此外，可以考虑禁用 RESTORE 命令，但这可能会影响某些应用程序的功能。如果必须使用 RESTORE 命令，请确保对输入进行严格的验证和清理，以防止恶意有效载荷的注入。升级后，使用 redis-cli info 命令检查 Redis 版本，确认已成功升级。

修复方法翻译中…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis.  Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad.  Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.

常见问题

什么是 CVE-2026-25243 — 远程代码执行漏洞在 Redis 中？

CVE-2026-25243 是 Redis 1.0.0 到 8.6.3 版本中发现的一个远程代码执行漏洞，攻击者可以通过 RESTORE 命令利用序列化验证不足来执行恶意代码。

我是否受到 CVE-2026-25243 在 Redis 中影响？

如果您正在使用 Redis 1.0.0 到 8.6.3 版本的 Redis，则可能受到此漏洞的影响。请立即检查您的 Redis 版本并采取相应的缓解措施。

如何修复 CVE-2026-25243 在 Redis 中？

最有效的修复方法是升级到 Redis 8.6.3 或更高版本。如果无法升级，请使用 ACL 规则限制对 RESTORE 命令的访问。

CVE-2026-25243 是否正在被积极利用？

目前尚未观察到大规模的利用，但由于漏洞的严重性，预计未来可能会出现利用案例。建议密切关注安全动态。

在哪里可以找到官方 Redis 关于 CVE-2026-25243 的安全公告？

请访问 Redis 官方网站或 GitHub 仓库，查找关于 CVE-2026-25243 的安全公告和更新。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE

live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始：拥有账户后，您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...

浏览文件