Redis Lua 脚本引擎远程代码执行漏洞(CVE-2025-49844)

作者：杰润鸿远发布时间：2025-10-11 点击数：

一、漏洞概述

漏洞名称	Redis Lua 脚本引擎远程代码执行漏洞
CVE ID	CVE-2025-49844
漏洞类型	RCE	发现时间	2025-10-9
漏洞评分	9.9	漏洞等级	严重
攻击向量	网络	所需权限	无
利用难度	低	用户交互	不需要
PoC/EXP	已公开	在野利用	未发现

Redis是一个开源的内存数据结构存储系统，广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构，如字符串、哈希、列表、集合、有序集合等，并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力，数据可以保存在内存中，定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置，常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能，Redis成为现代分布式系统中不可或缺的组件之一。

2025年10月9日，启明星辰集团VSRC监测到Redis中的一个严重漏洞，存在于其Lua脚本引擎中。该漏洞源于Redis在处理Lua脚本时的内存管理问题，具体表现为“use-after-free”错误。攻击者可以通过精心构造的Lua脚本，利用Redis的垃圾回收机制释放仍被引用的内存，导致内存被重用并执行恶意代码，进而实现远程代码执行（RCE）。攻击者利用该漏洞可获得Redis主机的完全控制权限，严重威胁云环境和敏感数据的安全。

二、影响范围

Redis < 6.2.20

7.2.0 <= Redis < 7.2.11

7.4.0 <= Redis < 7.4.6

8.0.0 <= Redis < 8.0.4

8.2.0 <= Redis < 8.2.2

三、安全措施

3.1 升级版本

Redis 官方已发布修复补丁，以修复该漏洞。

Redis >= 7.2.11

Redis >= 7.4.6

Redis >= 8.0.4

Redis >= 8.2.2

下载链接：https://github.com/redis/redis/releases/

3.2 临时措施

暂无。

3.3 通用建议

• 定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

• 加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

• 使用企业级安全产品，提升企业的网络安全性能。

• 加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

• 启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q/

https://nvd.nist.gov/vuln/detail/CVE-2025-49844

Tag：漏洞预警安全情报网络安全漏洞情报

上一篇：VMware Tools for Windows访问控制错误

下一篇：关于防范BlackLock勒索病毒的风险提示

返回列表

安全预警