InfoQ
·
Redis 发现严重的远程代码执行漏洞,时隔 13 年
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Redis发布了CVE-2025-49844安全警告,指出Lua脚本存在严重漏洞,可能导致经过身份验证的攻击者远程执行代码。建议开发者尽快升级修复版本,以防数据泄露和系统被攻陷。
🎯
关键要点
- Redis发布了CVE-2025-49844安全警告,Lua脚本存在严重漏洞。
- 该漏洞可能导致经过身份验证的攻击者远程执行代码。
- 开发者被建议尽快升级到修复版本以防数据泄露和系统被攻陷。
- 攻击者可以利用恶意Lua脚本操控垃圾回收器,触发使用后释放漏洞。
- 漏洞允许攻击者在Redis中执行任意本地代码,获取完全主机访问权限。
- Redis建议遵循安全最佳实践,限制网络访问和强制身份验证。
- 攻击者可以通过发送恶意Lua脚本来实现代码执行,并建立反向Shell进行持久访问。
- Wiz研究人员报告称,330K Redis实例暴露在互联网上,超过60K未配置身份验证。
- CVE-2025-49844允许攻击者逃离Lua沙箱并在主机上执行代码。
- 开发者应更新到指定的修复版本以确保安全,Valkey也受到影响并发布了修复版本。
➡️
