漏洞概述 | |||
漏洞名称 | Redis Lua 脚本远程代码执行漏洞 | ||
漏洞编号 | QVD-2026-24102,CVE-2026-23631 | ||
公开时间 | 2026-05-05 | 影响量级 | 百万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:经过身份验证的攻击者可以利用主从数据同步机制,在禁用只读模式的副本服务器上触发内存管理缺陷,通过构造特定的脚本操作导致内存错误引用,最终可能实现远程代码执行并完全控制目标系统。 | |||
01 漏洞详情
影响组件
Redis 是一款开源的高性能键值对内存数据库,支持字符串、哈希、列表、集合、有序集合等多种数据结构,并提供持久化、复制、高可用集群等特性。Redis 广泛应用于缓存、消息队列、实时分析、会话存储等场景,是当今最流行的 NoSQL 数据库之一。其内置的 Lua 脚本引擎允许用户在服务器端执行原子性操作,极大提升了数据处理的灵活性和效率。
漏洞描述
近日,奇安信CERT监测到官方修复Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631),该漏洞源于 Lua 脚本功能启用时,经过身份验证的攻击者可以利用主从数据同步机制,在禁用只读模式的副本服务器上触发内存管理缺陷,通过构造特定的脚本操作导致内存错误引用,最终可能实现远程代码执行并完全控制目标系统。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
利用条件
1.Redis 实例启用 Lua 脚本支持(Functions 或 Scripting 引擎)。
2.实例作为 Replica 运行,且 replica-read-only 配置为 no(或攻击者有权限修改)。
3.攻击者拥有认证权限(可执行 SCRIPT/FUNCTION、CONFIG、SLAVEOF 等命令)。
4.主从复制机制可用(replication 相关端口/配置开放)。
02 影响范围
影响版本
7.2.0 <= Redis < 7.2.14
7.4.0 <= Redis < 7.4.9
8.2.0 <= Redis < 8.2.6
8.4.0 <= Redis < 8.4.3
8.6.0 <= Redis < 8.6.3
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631),截图如下:
04 处置建议
安全更新
官方已发布安全补丁,请及时更新至最新版本:
Redis 7.2.* >= 7.2.14
Redis 7.4.* >= 7.4.9
Redis 8.2.* >= 8.2.6
Redis 8.4.* >= 8.4.3
Redis 8.6.* >= 8.6.3
下载地址:
https://redis.io/downloads/
临时缓解措施:
1.禁止用户执行 Lua 脚本:通过配置禁用 EVAL、EVALSHA、FUNCTION LOAD、FCALL 等 Lua 相关命令,阻止攻击者利用 Lua 引擎触发漏洞。
2.启用并强制从节点只读:确保所有从节点配置 replica-read-only yes,并严格限制任何用户(包括管理员)修改此配置的权限,防止攻击者通过 CONFIG SET 将其关闭。
05 参考资料
[1]https://github.com/redis/redis/security/advisories/GHSA-8ghh-qpmp-7826
[2]https://www.zeroday.cloud/blog/redis-cve-2026-23631-dark-replica
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
