【误差通告】Redis Lua 剧本引擎远程代码执行误差(CVE-2025-49844)

宣布时间 2025-10-09

一、误差概述


误差名称

Redis Lua 剧本引擎远程代码执行误差

CVE   ID

CVE-2025-49844

误差类型

RCE

发明时间

2025-10-9

误差评分

9.9

误差品级

严重

攻击向量

网络

所需权限

使用难度

用户交互

不需要

PoC/EXP

已果真

在野使用

未发明


Redis是一个开源的内存数据结构存储系统,普遍应用于缓存、新闻行列、实时剖析等场景 。它支持多种数据结构,如字符串、哈希、列表、荟萃、有序荟萃等,并提供富厚的操作下令 。Redis具有高性能、无邪性和长期化能力,数据可以生涯在内存中,按期或凭证需求同步到磁盘 。它支持主从复制、分区和高可用性设置,常用于提高系统响应速率和可扩展性 。由于其高效的读取和写入性能,Redis成为现代漫衍式系统中不可或缺的组件之一 。


2025年10月9日,尊龙凯官网入口集团VSRC监测到Redis中的一个严重误差,保存于其Lua剧本引擎中 。该误差源于Redis在处置惩罚Lua剧本时的内存管理问题,详细体现为“use-after-free”过失 。攻击者可以通过全心结构的Lua剧本,使用Redis的垃圾接纳机制释放仍被引用的内存,导致内存被重用并执行恶意代码,进而实现远程代码执行(RCE) 。攻击者使用该误差可获得Redis主机的完全控制权限,严重威胁云情形和敏感数据的清静 。


二、影响规模


Redis < 6.2.20
7.2.0 <= Redis < 7.2.11
7.4.0 <= Redis < 7.4.6
8.0.0 <= Redis < 8.0.4
8.2.0 <= Redis < 8.2.2


三、清静步伐


3.1 升级版本


Redis 官方已宣布修复补丁,以修复该误差 。
Redis >= 7.2.11
Redis >= 7.4.6
Redis >= 8.0.4
Redis >= 8.2.2


下载链接:https://github.com/redis/redis/releases/


3.2 暂时步伐


暂无 。


3.3 通用建议


按期更新系统补丁,镌汰系统误差,提升服务器的清静性 。
增强系统和网络的会见控制,修改防火墙战略,关闭非须要的应用端口或服务,镌汰将危险服务(如SSH、RDP等)袒露到公网,镌汰攻击面 。
使用企业级清静产品,提升企业的网络清静性能 。
增强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应坚持在最低限度 。
启用强密码战略并设置为按期修改 。


3.4 参考链接


https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q/
https://nvd.nist.gov/vuln/detail/CVE-2025-49844