YYaaa News

Redis 一次修五个 RCE|潜伏两年,PoC 已公开,立即升级

一句话总结

Redis 5 月 5 日一次性修补 5 个高危 RCE 漏洞,影响 7.2.0–8.6.2 全线,其中 CVE-2026-23479 潜伏两年。

Redis 一次修五个 RCE|潜伏两年,PoC 已公开,立即升级

5 月 5 日,Redis 官方 CISO Riaz Lakhani 发布安全公告,一次性修补五个高危漏洞,全部可导致远程代码执行,受影响版本横跨 7.2.0 至 8.6.2。

五个漏洞逐一拆解

CVE-2026-23479(CVSS 7.7):unblock client flow 中的 use-after-free。blocked 客户端被驱逐时重新执行命令,processCommandAndResetClient 返回错误但代码未处理,导致 client 指针被释放后继续引用。Team Xint Code 的 PoC 链:Lua 脚本泄露 heap 指针 → 操纵客户端内存 → 覆写 Global Offset Table 的函数指针 → 重定向至 system() 完成 RCE。这个 bug 2023 年初通过两个 commit 引入,潜伏超过两年。

CVE-2026-25243(CVSS 7.7):RESTORE 命令的 invalid memory access,精心构造的序列化 payload 触发任意代码执行,存在 double-free 和 integer overflow 两条独立路径。

CVE-2026-25588 / 25589(各 CVSS 7.7):RESTORE 命令与 RedisTimeSeries、RedisBloom 模块组合时触发同类内存问题,heap buffer overflow + out-of-bounds write,影响使用模块的生产环境。

CVE-2026-23631「DarkReplica」(CVSS 6.1):认证后用 SLAVEOF 让目标实例成为攻击者控制的 master 的副本,主从同步时从 RDB 文件加载恶意函数上下文,最终重定向内部函数指针调用 libc 函数完成 RCE。replica-read-only 关闭时影响最大,所有启用 Lua 的版本均受影响。

为什么要紧

Redis 默认无认证,大量部署直接暴露在网络上,「需要认证」这个前提在生产环境里实际等于没有。Redis 又普遍作为共享基础设施组件,一台 Redis 被拿下基本等于整个应用栈的立足点。

修复版本

7.2.14、7.4.9、8.2.6、8.4.3、8.6.3,立即升级,无替代方案。

via Redis 官方公告 / GBHackers / CyberSecurityNews / SC Media / SentinelOne
Redis 一次修五個 RCE|潛伏兩年,PoC 已公開,立即升級