文章总结： RedisLua脚本远程代码执行漏洞(CVE-2026-23631)为高危漏洞，CVSS评分8.1。攻击者可在禁用只读模式的副本服务器上通过主从同步机制触发内存管理缺陷实现远程代码执行。影响版本包括Redis7.2.0-7.2.14、7.4.0-7.4.9、8.2.0-8.2.6、8.4.0-8.4.3、8.6.0-8.6.3。建议立即升级至安全版本或临时禁用Lua脚本命令并强制从节点只读模式。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,安全运营

【已复现】Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631)安全风险通告

奇安信 CERT

2026年6月3日 15:24 北京

在小说阅读器读本章

去阅读

● 点击↑蓝字关注我们，获取更多安全风险通告

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Redis Lua 脚本远程代码执行漏洞 | | | | 漏洞编号 | QVD-2026-24102，CVE-2026-23631 | | | | 公开时间 | 2026-05-05 | 影响量级 | 百万级 | | 奇安信评级 | 高危 | CVSS 3.1分数 | 8.1 | | 威胁类型 | 代码执行 | 利用可能性 | 高 | | POC状态 | 已公开 | 在野利用状态 | 未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 | | 危害描述：经过身份验证的攻击者可以利用主从数据同步机制，在禁用只读模式的副本服务器上触发内存管理缺陷，通过构造特定的脚本操作导致内存错误引用，最终可能实现远程代码执行并完全控制目标系统。 | | | |

01

漏洞详情

>>>>

影响组件

Redis 是一款开源的高性能键值对内存数据库，支持字符串、哈希、列表、集合、有序集合等多种数据结构，并提供持久化、复制、高可用集群等特性。Redis 广泛应用于缓存、消息队列、实时分析、会话存储等场景，是当今最流行的 NoSQL 数据库之一。其内置的 Lua 脚本引擎允许用户在服务器端执行原子性操作，极大提升了数据处理的灵活性和效率。

>>>>

漏洞描述

近日，奇安信CERT监测到官方修复Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631)，该漏洞源于 Lua 脚本功能启用时，经过身份验证的攻击者可以利用主从数据同步机制，在禁用只读模式的副本服务器上触发内存管理缺陷，通过构造特定的脚本操作导致内存错误引用，最终可能实现远程代码执行并完全控制目标系统。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

>>>>

利用条件

1.Redis 实例启用 Lua 脚本支持（Functions 或 Scripting 引擎）。

2.实例作为 Replica 运行，且 replica-read-only 配置为 no（或攻击者有权限修改）。

3.攻击者拥有认证权限（可执行 SCRIPT/FUNCTION、CONFIG、SLAVEOF 等命令）。

4.主从复制机制可用（replication 相关端口/配置开放）。

02

影响范围

>>>>

影响版本

7.2.0 <= Redis < 7.2.14

7.4.0 <= Redis < 7.4.9

8.2.0 <= Redis < 8.2.6

8.4.0 <= Redis < 8.4.3

8.6.0 <= Redis < 8.6.3

>>>>

其他受影响组件

无

03

复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631)，截图如下：

04

处置建议

>>>>

安全更新

官方已发布安全补丁，请及时更新至最新版本：

Redis 7.2.* >= 7.2.14

Redis 7.4.* >= 7.4.9

Redis 8.2.* >= 8.2.6

Redis 8.4.* >= 8.4.3

Redis 8.6.* >= 8.6.3

下载地址：

https://redis.io/downloads/

临时缓解措施：

1.禁止用户执行 Lua 脚本：通过配置禁用 EVAL、EVALSHA、FUNCTION LOAD、FCALL 等 Lua 相关命令，阻止攻击者利用 Lua 引擎触发漏洞。

2.启用并强制从节点只读：确保所有从节点配置 replica-read-only yes，并严格限制任何用户（包括管理员）修改此配置的权限，防止攻击者通过 CONFIG SET 将其关闭。

05

参考资料

[1]https://github.com/redis/redis/security/advisories/GHSA-8ghh-qpmp-7826

[2]https://www.zeroday.cloud/blog/redis-cve-2026-23631-dark-replica

06

时间线

2026年06月03日，奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务：

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到ALPHA威胁分析平台订阅更多漏洞信息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信 CERT 《【已复现】Redis Lua 脚本远程代码执行漏洞(CVE-2026-23631)安全风险通告》