Lỗ hổng CVE trong Redis đang ảnh hưởng đến Redis Cloud, Redis Software và toàn bộ các bản phát hành cộng đồng mã nguồn mở, với nguy cơ dẫn đến remote code execution nếu kẻ tấn công có thể xác thực vào hệ thống. Nhóm lỗ hổng CVE này gồm năm vấn đề bảo mật, trong đó bốn lỗi bị đánh giá High với CVSS 7.7 và một lỗi mức Medium với CVSS 6.1.
Lỗ hổng CVE trong Redis và phạm vi ảnh hưởng
Khuyến cáo bảo mật được công bố vào ngày 05/05/2026. Theo mô tả kỹ thuật, tất cả các lỗ hổng đều yêu cầu authenticated access để khai thác, nhưng khi thành công có thể dẫn đến arbitrary code execution, full system compromise, data exfiltration hoặc service disruption.
Danh sách bản phát hành bị ảnh hưởng bao gồm Redis OSS/CE và Redis Software. Các bản Redis Cloud đã được vá sẵn và không yêu cầu thao tác từ phía khách hàng. Thông tin tham chiếu có thể xem tại Redis Security Advisory.
Các CVE liên quan
- CVE-2026-23479: Use-after-free trong luồng unblock client.
- CVE-2026-25243: Lỗi truy cập bộ nhớ không hợp lệ trong lệnh RESTORE.
- CVE-2026-25588: Lỗi liên quan đến RESTORE khi dùng với module RedisTimeSeries.
- CVE-2026-25589: Lỗi liên quan đến RESTORE khi dùng với module RedisBloom.
- CVE-2026-23631: Lua use-after-free mức độ trung bình, khai thác qua cơ chế đồng bộ master-replica.
Chi tiết kỹ thuật từng lỗ hổng CVE
CVE-2026-23479
Đây là một use-after-free trong unblock client flow. Khi một client đang bị chặn bị loại bỏ trong lúc thực thi lại một lệnh bị block, mã xử lý không xử lý đúng lỗi trả về từ processCommandAndResetClient. Điều này cho phép người dùng đã xác thực kích hoạt trạng thái use-after-free và có thể dẫn đến remote code execution.
CVE-2026-25243
Lỗi này ảnh hưởng đến lệnh RESTORE. Một người dùng đã xác thực có thể gửi serialized payload được tạo đặc biệt để gây ra invalid memory access. Tác động có thể là thực thi mã tùy ý trong ngữ cảnh của Redis server.
CVE-2026-25588 Và CVE-2026-25589
Hai lỗi này có quan hệ chặt chẽ, cùng nằm trong ngữ cảnh lệnh RESTORE khi sử dụng với các module RedisTimeSeries và RedisBloom. Kẻ tấn công đã xác thực có thể dùng payload tuần tự hóa được chế tạo sẵn để kích hoạt truy cập bộ nhớ không hợp lệ, dẫn đến cùng kiểu ảnh hưởng RCE.
Các vấn đề liên quan được ghi nhận gồm out-of-bounds read, out-of-bounds write, integer overflow và heap buffer overflow.
CVE-2026-23631
Đây là một lỗi medium severity liên quan đến Lua use-after-free. Người dùng đã xác thực có thể khai thác cơ chế đồng bộ master-replica để kích hoạt lỗi. Lỗ hổng tồn tại trên các phiên bản Redis có bật Lua scripting và trên replica được cấu hình với replica-read-only disabled.
Bản vá và phiên bản đã sửa
Redis xác nhận các bản phát hành Redis Cloud đã được vá. Với môi trường tự quản trị, tất cả các bản Redis OSS/CE bị ảnh hưởng và cần nâng cấp lên các bản đã khắc phục:
- Redis OSS/CE: 6.2.22, 7.2.14, 7.4.9, 8.2.6, 8.4.3, 8.6.3.
- Redis Software: Các phiên bản đến và bao gồm 8.0.6 bị ảnh hưởng; bản sửa có trong các build 8.0.10-64, 7.22.2-79, 7.8.6-253, 7.4.6-279, 7.2.4-153.
- RedisTimeSeries: v1.12.14, v1.10.24, v1.8.23.
- RedisBloom: v2.8.20, v2.6.28, v2.4.23.
Hiện chưa ghi nhận dấu hiệu khai thác chủ động trong thực tế tại thời điểm công bố. Tuy vậy, lỗ hổng CVE này vẫn cần được xử lý ngay trên các hệ thống tự quản trị.
Biện pháp giảm thiểu cho lỗ hổng CVE
Ưu tiên cao nhất là cập nhật bản vá lên các phiên bản đã sửa. Ngoài ra, quản trị viên nên giới hạn bề mặt tấn công của lỗ hổng CVE bằng các biện pháp kiểm soát truy cập và phân quyền.
- Chỉ cho phép nguồn tin cậy truy cập Redis qua firewall và network policy.
- Bật và duy trì protected-mode trên các triển khai CE và OSS.
- Áp dụng strong authentication cho mọi instance.
- Giới hạn đặc quyền theo principle of least privilege.
Chỉ dấu cần theo dõi
Các dấu hiệu sau có thể gợi ý tình trạng khai thác hoặc thử khai thác lỗ hổng CVE:
- Nỗ lực truy cập trái phép.
- Redis server crash bất thường kèm Lua engine stack traces.
- Lệnh bất thường được thực thi bởi user redis-server.
- Thay đổi không mong muốn trong cấu hình hoặc tệp persistent của Redis.
Ghi chú về phát hiện lỗ hổng
Những lỗ hổng CVE này được phát hiện thông qua nền tảng ZeroDay.Cloud trong hợp tác nghiên cứu bảo mật. Thông tin chi tiết về mức độ ảnh hưởng và tình trạng vá lỗi nên được đối chiếu trực tiếp với advisory của nhà phát hành và dữ liệu CVE tương ứng trên NVD.
Điểm cần lưu ý khi xử lý lỗ hổng CVE
Với các hệ thống Redis tự quản trị, lỗ hổng CVE này có thể tạo ra rủi ro bảo mật nghiêm trọng nếu dịch vụ tiếp xúc trực tiếp với mạng không tin cậy. Do đó, việc cập nhật bản vá, siết quyền truy cập và kiểm tra IOC vận hành là các bước cần ưu tiên để giảm nguy cơ hệ thống bị xâm nhập.
