2026年5月5日Redis 8.6.3 正式发布。这是一个非常值得关注的版本因为官方明确标注了Update urgency: SECURITY说明本次更新包含安全修复建议尽快升级。从发布内容来看8.6.3 不只是一次常规的小版本迭代而是一次覆盖安全漏洞修复、核心功能稳定性增强、模块问题修正、向量与搜索能力优化、指标增强的综合升级。尤其是在安全部分多个问题都可能导致远程代码执行风险级别很高生产环境用户必须重视。下面我们按照“安全修复 → Bug 修复 → Metrics”三个部分完整梳理 Redis 8.6.3 的更新内容帮助大家快速了解这次版本升级到底改了什么、为什么要升级、升级后能得到哪些收益。一、版本概览Redis 8.6.3发布时间2026年5月5日更新紧急级别SECURITY本版本的核心特征可以概括为修复多个高危安全问题修复大量稳定性和崩溃问题修复搜索、向量、时间序列、概率模块相关问题优化故障诊断与性能追踪能力增强 FT.PROFILE 相关能力对于正在使用 Redis 的用户来说尤其是生产环境、在线业务、包含脚本、RESTORE、模块功能、搜索能力、向量检索能力的场景8.6.3 是非常建议尽快升级的版本。二、安全修复必须优先关注这次版本最重要的内容就是安全修复。官方直接标记为 SECURITY说明安全问题是本次升级的核心驱动力。1Use-After-Free in unblock client flow may lead to Remote Code Execution该问题描述为CVE-2026-23479在 unblock client 流程中存在Use-After-Free可能导致远程代码执行这类问题通常意味着内存对象在释放后仍被继续访问从而可能引发不可预期行为。官方明确指出其最严重后果可能是Remote Code Execution因此属于高危漏洞。2Invalid memory access in RESTORE may lead to Remote Code Execution该问题描述为CVE-2026-25243RESTORE 中存在无效内存访问可能导致远程代码执行RESTORE 是常见数据恢复相关操作本次修复表明该路径存在内存安全隐患。由于影响结果可能达到远程代码执行这一问题必须尽快修复。3Lua Use-After-Free may lead to remote code execution该问题描述为CVE-2026-23631Lua 存在Use-After-Free可能导致远程代码执行Lua 脚本在 Redis 中用途非常广泛因此 Lua 相关安全问题的影响面通常较大。此次修复说明脚本执行链路中存在严重的内存释放后访问问题建议所有使用 Lua 的实例高度重视。4Invalid memory access in RESTORE may lead to Remote Code ExecutionTime Series该问题描述为CVE-2026-25588Time Series 场景下 RESTORE 存在无效内存访问可能导致远程代码执行这说明 RESTORE 的安全问题不仅影响通用路径还影响了 Time Series 相关场景。对于使用时间序列能力的实例这项修复尤其关键。5Invalid memory access in RESTORE may lead to Remote Code ExecutionProbabilistic该问题描述为CVE-2026-25589Probabilistic 场景下 RESTORE 存在无效内存访问可能导致远程代码执行同样属于 RESTORE 相关的安全漏洞但影响对象是 Probabilistic 场景。可以看出本次 RESTORE 安全修复覆盖面很广涉及多个不同模块和能力域。安全部分总结这一组安全修复说明Redis 8.6.3 不是可选升级而是应尽快升级的安全版本。尤其是以下关键词必须重点注意Use-After-FreeInvalid memory accessRESTORELuaRemote Code Execution如果你的系统中使用了脚本、恢复、Time Series、Probabilistic 等相关能力升级优先级应进一步提高。三、Bug 修复核心稳定性大幅增强除了安全问题本次更新还修复了大量 Bug涉及命令稳定性、内存异常、模块功能、搜索引擎、向量索引、连接异常、配置校验等多个方面。下面逐条整理。1SUBSCRIBE、PSUBSCRIBE、SSUBSCRIBEOOM 时崩溃问题修复修复内容SUBSCRIBE, PSUBSCRIBE, SSUBSCRIBE: crash on OOM这表示在内存不足时订阅相关命令可能发生崩溃。对于使用 Pub/Sub 的环境这是一项非常重要的稳定性修复因为 OOM 场景在高负载或异常流量下并不少见。2CONFIG SET部分设置允许无效字符修复内容CONFIG SET: some settings allow invalid characters这说明某些配置项在设置时可能接受了不合法字符导致潜在配置异常或行为不稳定。修复后可以提升配置输入的合法性和系统稳定性。3SCRIPT DEBUG脚本调试时潜在崩溃修复内容SCRIPT DEBUG: potential crash on scripts脚本调试路径存在潜在崩溃风险。对于需要排查 Lua 脚本问题的环境这个修复有助于提升调试过程的可靠性。4VADD大 REDUCE 值时崩溃或缓冲区溢出修复内容VADD: crash or buffer overflow on large REDUCE value这是一项比较关键的内存安全和稳定性修复。当 REDUCE 值较大时可能会触发崩溃或缓冲区溢出问题。升级后有助于防止异常输入造成严重后果。5VSET巨大分配时崩溃修复内容VSET: crash on huge allocations当发生巨大内存分配时VSET 可能崩溃。这类问题一般和资源压力相关修复后有助于提升大对象处理能力下的稳定性。6Time Series断开连接和 TLS 失败时潜在崩溃修复内容Potential crash on disconnections and TLS failures (Time Series)这说明在 Time Series 场景中连接断开或 TLS 失败时可能触发崩溃。对于启用 TLS 的生产环境这是一项重要修复。7RediSearch高 TTL 活动下大量 key 过期导致崩溃修复内容Crash when many keys receive expirations under heavy TTL activity在高 TTL 活动场景下如果很多 key 同时过期可能导致崩溃。这说明索引与过期通知之间在极端场景下存在稳定性问题。8RediSearch高并发 churn 场景下 HNSW 向量索引内存增长修复内容HNSW vector index memory growth under high-churn workloads until shard restart这是一个很典型的资源增长问题。在高 churn 工作负载下HNSW 向量索引可能出现内存增长直到分片重启才会恢复。修复后有助于控制长期运行时的内存风险。9FT.HYBRID VSIM RANGE FILTER 错误返回 0 结果修复内容FT.HYBRID VSIM RANGE FILTER incorrectly returns zero results这个问题会导致在特定组合查询下错误返回空结果。属于典型的查询正确性问题修复后可避免检索结果异常。10FT.PROFILE HYBRID 返回空回复修复内容FT.PROFILE HYBRID returns an empty reply在混合查询场景下FT.PROFILE 可能返回空回复。这会影响调试与性能分析。11FT.PROFILE分片总 profile 时间报告错误修复内容FT.PROFILE reports an incorrect shard total profile time该问题会导致 profiling 时间统计不准确。对需要分析性能瓶颈的用户来说这是很关键的修复。12FT.PROFILE当某个 profiled value 缺失时输出不一致修复内容FT.PROFILE output is inconsistent when a profiled value is missing当被 profiling 的值缺失时输出可能不一致。这会影响结果解析和调试体验。13FT.EXPLAIN 不加锁导致与并发索引变更竞争修复内容FT.EXPLAIN does not lock, causing a race with concurrent index changesFT.EXPLAIN 在执行时没有加锁从而可能与并发索引变更产生竞态。这类问题会导致解释结果不稳定修复后可提升并发安全性。14索引负零 -0.0 时崩溃修复内容Crash when indexing negative zero (-0.0)在索引 -0.0 时发生崩溃。这是一个边界值处理问题修复后能提升数值索引的健壮性。15多个索引共享字段别名时 FILTER 结果不一致修复内容FILTER returns inconsistent results with multiple indexes sharing field aliases当多个索引共享字段别名时FILTER 可能返回不一致结果。这类问题会直接影响查询正确性。16FILTER 行为受表达式属性顺序影响修复内容FILTER behavior depends on property order in the expressionFILTER 的行为可能受表达式中属性顺序影响。这说明表达式解析存在不稳定因素修复后有助于统一查询行为。17对不匹配文档类型的索引也会执行过滤表达式修复内容Filter expressions are evaluated for indexes that do not match the document type过滤表达式被错误地应用到不匹配文档类型的索引上。这会造成不必要的执行和潜在结果偏差。18索引路径不同导致文档被不一致地包含或排除修复内容Documents are inconsistently included or excluded depending on the indexing path taken文档是否被纳入索引可能会因索引路径不同而不一致。这是一个较严重的一致性问题修复后可增强索引结果可靠性。19RENAME 通知处理器加载了错误的 key导致重命名后出现陈旧索引项修复内容RENAME notification handler loads the wrong key, causing stale index entries after a rename当 key 重命名后通知处理器可能加载错误的 key导致索引中留下陈旧数据。这会影响索引准确性和查询结果。20PERSIST 和 HPERSIST 通知未反映到过期跟踪中修复内容PERSIST and HPERSIST notifications are not reflected in index expiration tracking当 key 从过期状态转为持久化状态时索引过期跟踪未正确更新。这会影响索引生命周期管理。21FT.SPELLCHECK 将 PARAMS 占位符当成字面值修复内容FT.SPELLCHECK treats PARAMS placeholders as literal terms instead of resolving them原本应解析的 PARAMS 占位符被当成了字面术语。这会影响拼写检查的准确性和参数化使用体验。22Replica shards 上 GC out-of-memory 后状态不一致修复内容GC out-of-memory on replica shards leaves the replica in an inconsistent state副本分片在 GC 过程中遇到 OOM 后可能进入不一致状态。这是一个非常值得重视的副本稳定性问题。23FT.HYBRID 并发负载下间歇性失败修复内容Race condition in FT.HYBRID causes intermittent failures under concurrent hybrid query load在并发混合查询压力下FT.HYBRID 可能因竞态条件而间歇失败。这说明高并发检索场景下存在时序竞争问题。24配置注册缺少模块参数导致不可见或误应用修复内容Configuration registration omits module parameters, causing them to be unexposed or misapplied配置注册过程中遗漏了模块参数导致这些参数可能不显示或者被错误应用。这会影响模块配置的可管理性。25FT.SEARCH 在拓扑校验失败时崩溃修复内容Crash on FT.SEARCH when topology validation fails (for example, some nodes unreachable)当拓扑校验失败时例如部分节点不可达执行 FT.SEARCH 可能崩溃。这对于分布式环境非常重要。26分片重启或故障转移后 FT.SEARCH 报“Query requires unavailable slots”修复内容FT.SEARCH fails with “Query requires unavailable slots” after shard restart or failover分片重启或故障转移后FT.SEARCH 可能报错提示查询需要不可用的 slots。这个修复对高可用场景非常关键。27无索引时 FT.INFO 风格输出不再报告 zero-index summary data修复内容FT.INFO-style output no longer reports zero-index summary data when no indices exist当不存在索引时FT.INFO 风格输出不再报告 zero-index summary data。这会让输出行为更加一致。28FT.CREATE 在创建阶段拒绝无效选项组合修复内容FT.CREATE now rejects schema definitions with invalid option combinations at creation time现在 FT.CREATE 会在创建时就拒绝无效选项组合而不是让错误配置进入后续流程。这属于非常有价值的前置校验增强。29崩溃诊断信息新增 IndexSpec修复内容Crash diagnostics now include the IndexSpec of the index the failing thread was working on当线程发生崩溃时诊断信息会包含该线程所处理索引的 IndexSpec。这会大幅提升问题排查效率。四、Metrics指标能力增强除了安全和 Bug 修复本次版本还带来了指标相关的增强。FT.PROFILE新增队列时间跟踪修复/增强内容FT.PROFILE: added queue time tracking这项变化意味着 FT.PROFILE 现在新增了队列时间跟踪能力。对于性能分析来说这非常重要因为它能帮助用户更完整地了解请求在执行前经历了多少排队时间从而更准确地定位性能瓶颈。五、这次版本升级的整体价值综合来看Redis 8.6.3 的升级价值非常明确1. 安全性明显提升多个漏洞直接关联到远程代码执行属于高优先级修复。2. 稳定性显著增强涉及订阅、脚本、向量、时间序列、搜索、TLS、断连、GC、重命名等多个方向的崩溃与异常修复。3. 查询正确性更可靠FT.HYBRID、FT.PROFILE、FT.EXPLAIN、FILTER、FT.SPELLCHECK 等行为修复减少错误结果和不一致输出。4. 索引与模块行为更一致尤其是 RENAME、PERSIST、HPERSIST、FT.CREATE 配置校验等内容都提升了索引生命周期和配置管理的可靠性。5. 性能分析更强新增队列时间跟踪后FT.PROFILE 的可观测性更进一步。六、适合重点升级的场景如果你的环境中包含以下情况那么 Redis 8.6.3 尤其值得尽快升级使用 Lua 脚本使用 RESTORE使用 Time Series使用 Probabilistic使用 Pub/Sub 订阅命令使用 RediSearch使用 FT.HYBRID、FT.PROFILE、FT.EXPLAIN、FT.SEARCH、FT.CREATE、FT.SPELLCHECK使用向量索引和 HNSW启用了 TLS存在高 TTL 过期活动有高并发混合查询负载需要做性能分析和排障七、结语代码地址github.com/redis/redisRedis 8.6.3 是一个非常典型的“安全优先 稳定性强化版本。从发布信息可以看出这次更新不仅修复了多个可能导致远程代码执行的高危安全问题还覆盖了订阅、脚本、RESTORE、Time Series、Probabilistic、RediSearch、向量索引、TLS、配置校验、诊断信息等多个方向。