文章总结： Redis官方披露CVE-2026-25243（RESTORE双重释放）和CVE-2026-23631（主从Lua引擎UAF）两个高危RCE漏洞，攻击者仅需Redis账号权限即可稳定触发远程代码执行，导致挖矿入侵、数据窃取和内网渗透风险。文档详细分析漏洞技术原理，并提供企业自查步骤、临时ACL限制/命令禁用/网络防护等应急方案，以及版本升级、权限优化等根治措施，强调即使配置安全仍存在代码级威胁。 综合评分： 87 文章分类： 漏洞分析,应急响应,解决方案,威胁情报,漏洞预警

Redis四大RCE攻击链曝光，挖矿入侵事件频发！

原创

牛叫瘦 牛叫瘦

HACK之道

2026年6月5日 09:06 重庆

在小说阅读器读本章

去阅读

2026 年 5 月初 Redis 官方披露一批高危内存漏洞，时隔不久完整 PoC、EXP 利用代码在安全社区全面公开，其中 \CVE-2026-25243（RESTORE 双重释放）、CVE-2026-23631（主从 Lua 引擎 UAF）\ 两条远程代码执行利用链可稳定触发 RCE，具备实战入侵能力。不同于早年裸奔配置漏洞，本次漏洞属于原生代码缺陷，只要攻击者拿到 Redis 账号权限即可发起攻击，不受端口内网 / 公网部署限制，大量 7.2、7.4、8.x 主流版本实例面临被植入挖矿木马、窃取业务缓存、内网横向渗透风险。

一、漏洞基础信息

两个漏洞均为内存破坏类高危漏洞，官方 CVSS 评分分别为 8.8、8.1，漏洞细节、EXP 已于 2026 年 5 月 5 日对外公开，目前暂无大规模在野批量挖矿利用，但自动化扫描脚本已在黑产社群流转，企业需提前处置风险。

| 漏洞编号 | 漏洞成因 | 核心风险 | 利用前置条件 | | — | — | — | — | | CVE-2026-25243 | RESTORE 反序列化双重释放（CWE-415） | 任意内存读写→远程代码执行 | 拥有 Redis 账号，可执行 RESTORE 命令 | | CVE-2026-23631 | 主从同步打断 Lua 虚拟机，释放后重用 UAF（CWE-416） | 沙箱逃逸、系统命令执行 | 可连接 Redis，支持配置 SLAVEOF 从机绑定、启用 Lua 脚本 |

受影响全版本清单（精准对照）

1. 1. 7.2.0 ≤ 版本 ＜7.2.14
2. 2. 7.4.0 ≤ 版本 ＜7.4.9
3. 3. 8.2.0 ≤ 版本 ＜8.2.6
4. 4. 8.4.0 ≤ 版本 ＜8.4.3
5. 5. 8.6.0 ≤ 版本 ＜8.6.3

\ 安全修复目标版本：**7.2.14、7.4.9、8.2.6、8.4.3、8.6.3，升级至以上版本可彻底根治两个漏洞风险。

二、两条 RCE 漏洞技术原理详解

（一）CVE-2026-25243：RESTORE 命令双重释放漏洞

RESTORE 是 Redis 用于导入 RDB 序列化数据的原生指令，负责将 DUMP 序列化后的二进制数据恢复入库，漏洞根源在于序列化数据校验逻辑与内存转换逻辑不一致。

1. 1. 漏洞根源：在解析老旧 zipmap 哈希、Stream 消费组序列化数据时，RESTORE 对数据长度做两次校验，验证环节判定数据合法、转换环节却出现长度溢出，导致同一内存对象先后两次调用内存释放函数，触发双重释放（Double Free）。
2. 2. 攻击链路：攻击者构造畸形 DUMP 序列化载荷→调用 RESTORE 导入数据→触发堆内存双重释放→借助 Jemalloc 内存分配器特性篡改堆布局，实现任意地址读写→篡改 Redis 进程内部函数指针→最终以 Redis 运行权限执行系统指令、落地 Shell。
3. 3. 补充说明：若业务接入 RedisTimeSeries、RedisBloom 第三方模块，漏洞利用成功率进一步提升，该场景下无需精细堆布局即可完成 RCE，是当前黑产重点瞄准场景。

（二）CVE-2026-23631：主从同步触发 Lua 引擎释放后重用漏洞

漏洞依托 Redis 单线程 + Lua 脚本 + 主从复制三大原生机制的逻辑冲突，也是本次实用性最强的一条利用链，利用门槛更低。

1. 1. 底层逻辑：Redis 单线程运行阻塞型 Lua 脚本时，内部超时钩子会临时切出事件循环，处理网络 I/O 请求；攻击者把自身服务器伪装恶意主节点，诱导目标 Redis 执行SLAVEOF 恶意IP 端口绑定从机，主节点下发 FULLRESYNC 全量同步指令。
2. 2. 漏洞触发：同步指令强制中断正在运行的 Lua 脚本，直接销毁全局 Lua 虚拟机上下文；I/O 处理完毕后，原阻塞 Lua 函数继续执行，但底层虚拟机内存已被释放，形成野指针（Use-After-Free）。
3. 3. 最终危害：攻击者通过野指针篡改 Lua 沙箱边界，绕过 Redis 默认沙箱隔离，直接调用系统 IO 函数执行命令，实现远程代码执行；若 Redis 使用 root 启动，攻击者可完整接管服务器。

关键提醒：该漏洞不受replica-read-only从机只读配置限制，只要 Redis 支持 Lua、允许 SLAVEOF 命令，即可触发漏洞，内网互通无 IP 白名单的业务 Redis 风险最高。

三、企业快速自查实操步骤

运维人员按优先级分步自查，优先排查版本与高危命令权限，无法立即升级的实例先做临时限制。

1. 第一步：核查 Redis 版本

登录服务器执行：redis-cli INFO server | grep redis_version，对比上文受影响版本，落入区间则标记高危待整改。

2. 第二步：检查高危命令可用权限

1. 1. 查看 RESTORE、SLAVEOF 是否被禁用：ACL LIST，核查普通业务账号是否开放两条指令权限；
2. 2. 查看配置文件 redis.conf，确认是否通过 rename-command 重命名屏蔽 SLAVEOF、RESTORE。

3. 第三步：网络与权限核查

1. 1. 查看 bind 配置：禁止bind 0.0.0.0全地址监听，仅绑定 127.0.0.1 或业务内网段；
2. 2. 确认保护模式开启：protected-mode yes，无空口令、弱口令实例。

4. 第四步：进程运行权限排查

通过ps -ef | grep redis-server查看启动用户，杜绝 root 账号直接启动 Redis 服务。

四、分场景加固方案（临时应急 + 永久根治）

（一）临时应急方案（短期内无法升级版本，优先部署）

1. 1. ACL 权限管控（最有效临时缓解）

# 限制所有默认用户禁用RESTORE、SLAVEOF指令
ACL SETUSER default -@dangerous ~* -RESTORE -SLAVEOF
# 业务专属账号按需放开最小权限，最小化指令范围

1. 2. 配置文件禁用高危命令 在 redis.conf 添加配置，重启服务生效：

rename-command RESTORE "RESTORE_FORBID_2026#!"
rename-command SLAVEOF "SLAVEOF_BAN_@1234"

1. 3. 网络防护 防火墙 / 云安全组封禁陌生公网 IP 访问 6379，仅业务服务器 IP 白名单放行；内网 Redis 禁止跨网段全开放访问。
2. 4. Lua 临时管控 不需要 Lua 脚本的业务，通过 ACL 禁用 EVAL、EVALSHA：ACL SETUSER default -@script。

（二）长期根治方案

1. 1. 版本升级（首选方案）：按版本对应升级至官方修复版：7.2→7.2.14、7.4→7.4.9、8.2→8.2.6、8.4→8.4.3、8.6→8.6.3；优先灰度测试后分批上线，避免业务中断。
2. 2. 系统权限优化 创建专用低权限运行用户：useradd -s /sbin/nologin redis，修改 Redis 数据目录、RDB/AOF 持久化目录归属redis用户，修改 systemd 启动配置切换运行身份，禁止 root 启动。
3. 3. 日志与告警建设 开启 Redis 访问日志，监控 RESTORE、SLAVEOF、EVAL 高频异常调用，接入运维告警系统；云环境启用 WAF 拦截畸形 RESTORE 二进制载荷、异常 SLAVEOF 绑定请求。
4. 4. 第三方模块管控 非必要卸载 RedisTimeSeries、RedisBloom 等拓展模块，减少漏洞利用面。

五、服务器遭入侵后的应急处置流程

1. 1. 紧急隔离：防火墙临时阻断目标主机网络，断开 Redis 端口访问，防止攻击者横向扩散入侵内网其他业务；
2. 2. 恶意进程排查：top/htop排查异常高占用 CPU 的挖矿进程、可疑反弹 Shell 进程，清理陌生系统账号、异常定时任务；
3. 3. Redis 数据清理：全量备份 Redis 数据后，清空恶意写入的键值，排查是否存在通过 RESTORE 导入的恶意序列化数据；
4. 4. 溯源整改：查看 Redis 访问日志获取攻击源 IP，补齐加固策略，完成版本升级后再恢复业务上线。

本次 CVE-2026-25243、CVE-2026-23631 两条 RCE 利用链公开，区别于以往依赖裸奔、弱口令的配置漏洞，原生代码缺陷意味着即便做了内网隔离、强密码，只要账号泄露仍有被入侵风险。从历年 Redis 安全事件来看，多数企业习惯忽略版本迭代、高危命令权限收敛，是漏洞爆发后快速沦陷的关键。建议企业遵循「临时 ACL 限流 + 分批版本升级 + 最小权限运行」三层防护逻辑，优先完成高危实例整改，把 Redis 安全纳入常态化资产巡检项，规避黑产利用公开 EXP 批量入侵带来的数据与业务损失。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：HACK之道 牛叫瘦 牛叫瘦《Redis四大RCE攻击链曝光，挖矿入侵事件频发！》