分析待定CVE-2026-25243

CVE-2026-25243: RCE in Redis 1.0.0 - 8.6.3

Q: CVE-2026-25243 是什么 — Redis 中的 Remote Code Execution (RCE)？

Redis 是一个开源的内存数据结构存储，用作数据库、缓存和消息代理。

Q: Redis 中的 CVE-2026-25243 是否会影响我？

它允许远程代码执行，这可能会危及数据安全和服务器本身。

Q: 如何修复 Redis 中的 CVE-2026-25243？

立即升级到 8.6.3 或更高版本。

Q: CVE-2026-25243 是否正在被积极利用？

ACL 是访问控制列表，允许限制对 Redis 命令和资源的访问。

Q: 在哪里可以找到 Redis 关于 CVE-2026-25243 的官方安全通告？

除了升级和使用 ACL 之外，请审查您的身份验证和授权策略。

平台

redis

组件

redis

修复版本

8.6.3

在NVD查看

保存

CVE-2026-25243 describes a Remote Code Execution (RCE) vulnerability affecting Redis versions 1.0.0 up to 8.6.3. This vulnerability arises from insufficient validation within the RESTORE command, allowing an authenticated attacker to inject malicious serialized data. Successful exploitation could lead to arbitrary code execution on the Redis server, potentially compromising the entire system. The vulnerability was published on May 5, 2026, and a patch is available in version 8.6.3.

影响与攻击场景

Redis 的 CVE-2026-25243 漏洞影响 8.6.3 及更早版本。它允许经过身份验证的攻击者，如果具有执行 RESTORE 命令的权限，可以注入恶意序列化的有效载荷。此有效载荷可能导致无效的内存访问，从而可能导致远程代码执行。此漏洞的严重程度很高，因为成功的攻击者可能会危及 Redis 中存储的数据的机密性和完整性，并在最坏的情况下控制服务器。序列化的性质，如果未正确验证，是任意代码执行的常见向量，这使得此漏洞特别令人担忧。成功利用需要攻击者能够执行 RESTORE 命令，通常意味着拥有具有特定权限的用户帐户。

利用背景

该漏洞通过 RESTORE 命令利用，该命令用于从 RDB 文件重建 Redis 数据库。攻击者可以创建一个包含序列化有效载荷的恶意 RDB 文件，该有效载荷旨在利用 RESTORE 命令中缺乏验证。通过将此恶意 RDB 文件恢复到易受攻击的 Redis 服务器，攻击者可以触发无效的内存访问并可能执行任意代码。利用需要攻击者对 Redis 服务器进行身份验证访问并具有执行 RESTORE 命令的权限。利用的复杂性取决于攻击者创建有效序列化有效载荷以规避任何现有防御机制的能力。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

NextGuard10–15% 仍然脆弱

EPSS

0.09% (26% 百分位)

受影响的软件

组件redis

供应商redis

最低版本1.0.0

最高版本< 8.6.3

修复版本8.6.3

弱点分类 (CWE)

CWE-122

时间线

发布日期2026-05-05
修改日期2026-05-06
EPSS 更新日期2026-05-13

缓解措施和替代方案

针对 CVE-2026-25243 的最有效的缓解措施是将 Redis 升级到 8.6.3 或更高版本。此版本包含修复程序，该修复程序正确验证 RESTORE 命令中的序列化值。作为额外的安全措施，建议使用 ACL（访问控制列表）规则限制对 RESTORE 命令的访问。这限制了未经授权的用户执行命令的能力，即使该漏洞仍然存在于较早版本中。此外，审查和加强身份验证和授权策略以确保只有合法用户才能访问 Redis 及其命令至关重要。实施监控和入侵检测系统可以帮助识别和响应利用尝试。

修复方法翻译中…

Para mitigar este riesgo, actualice a la versión 8.6.3 o posterior de Redis.  Si no es posible actualizar inmediatamente, restrinja el acceso al comando RESTORE utilizando reglas de control de acceso (ACL) para evitar que atacantes no autorizados exploten la vulnerabilidad.  Consulte la documentación de Redis para obtener más detalles sobre la configuración de ACL.

常见问题

CVE-2026-25243 是什么 — Redis 中的 Remote Code Execution (RCE)？

Redis 是一个开源的内存数据结构存储，用作数据库、缓存和消息代理。

Redis 中的 CVE-2026-25243 是否会影响我？

它允许远程代码执行，这可能会危及数据安全和服务器本身。

如何修复 Redis 中的 CVE-2026-25243？

立即升级到 8.6.3 或更高版本。

CVE-2026-25243 是否正在被积极利用？

ACL 是访问控制列表，允许限制对 Redis 命令和资源的访问。

在哪里可以找到 Redis 关于 CVE-2026-25243 的官方安全通告？

除了升级和使用 ACL 之外，请审查您的身份验证和授权策略。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE

live免费扫描

立即试用 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始：拥有账户后，您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...

浏览文件