存在13年的Redis高危RCE漏洞可让攻击者完全控制主机系统
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
研究人员发现Redis存在一个潜伏13年的高危RCE漏洞(CVE-2025-49844),攻击者可通过特制Lua脚本完全控制主机。目前约33万个Redis实例暴露在互联网上,其中6万个未配置身份验证。建议用户立即升级并加强安全措施。
🎯
关键要点
- 研究人员发现Redis存在一个潜伏13年的高危远程代码执行漏洞(CVE-2025-49844)。
- 该漏洞允许攻击者通过特制Lua脚本完全控制底层主机系统。
- 漏洞评分达到最高10分,属于'释放后使用'(UAF)内存破坏漏洞。
- 攻击者可在Redis主机上实现任意代码执行,窃取、删除或加密数据。
- 约33万个Redis实例暴露在互联网上,其中6万个未配置身份验证。
- 官方Redis容器镜像默认情况下不需要身份验证,存在极大风险。
- 攻击流程包括发送恶意Lua脚本、突破沙箱、建立反向shell等。
- Redis已发布安全公告并推出修复版本,建议用户立即升级。
- 企业应实施安全加固最佳实践,包括启用强身份验证和使用最小权限账户。
➡️
