一、漏洞概述
漏洞名称 | Redis Lua 脚本引擎远程代码执行漏洞 |
CVE ID | CVE-2025-49844 |
漏洞类型 | RCE | 发现时间 | 2025-10-9 |
漏洞评分 | 9.9 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。
2025年10月9日,威廉希尔500欧洲指数集团VSRC监测到Redis中的一个严重漏洞,存在于其Lua脚本引擎中。该漏洞源于Redis在处理Lua脚本时的内存管理问题,具体表现为“use-after-free”错误。攻击者可以通过精心构造的Lua脚本,利用Redis的垃圾回收机制释放仍被引用的内存,导致内存被重用并执行恶意代码,进而实现远程代码执行(RCE)。攻击者利用该漏洞可获得Redis主机的完全控制权限,严重威胁云环境和敏感数据的安全。
二、影响范围
7.2.0 <=/new_type/aqtg/20251009/ /Redis < 7.2.117.4.0 <=/new_type/aqtg/20251009/ /Redis < 7.4.68.0.0 <=/new_type/aqtg/20251009/ /Redis < 8.0.48.2.0 <=/new_type/aqtg/20251009/ /Redis < 8.2.2
三、安全措施
3.1 升级版本
Redis >=/new_type/aqtg/20251009/ /7.2.11Redis >=/new_type/aqtg/20251009/ /7.4.6Redis >=/new_type/aqtg/20251009/ /8.0.4Redis >=/new_type/aqtg/20251009/ /8.2.2
下载链接:https://github.com/redis/redis/releases/
3.2 临时措施
暂无。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q/https://nvd.nist.gov/vuln/detail/CVE-2025-49844
京公网安备11010802024551号