PT-2026-37092 · Redis+1 · Redis-Server+2

Emil Lerner

·

Publicado

2026-05-05

·

Atualizado

2026-06-11

·

CVE-2026-25243

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas redis-server versões anteriores a 8.6.3
Descrição O Redis é um armazenamento de estrutura de dados em memória. O comando RESTORE não valida adequadamente valores serializados. Um invasor autenticado com permissões para executar este comando pode fornecer um payload serializado manipulado, desencadeando um acesso inválido à memória que pode levar à execução remota de código.
Recomendações Atualize para a versão 8.6.3. Restrinja o acesso ao comando RESTORE usando regras de ACL como uma medida paliativa temporária.

Exploit

Correção

RCE

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-122

Identificadores relacionados

ALSA-2026:23229
ALSA-2026:25219
BDU:2026-06448
BIT-KEYDB-2026-25243
BIT-REDIS-2026-25243
BIT-VALKEY-2026-25243
CVE-2026-25243
OESA-2026-2237
OPENSUSE-SU-2026:10711-1
OPENSUSE-SU-2026:10719-1
RHSA-2026:23229

Produtos afetados

Redis
Rocky Linux
Redis-Server