存在13年的Redis高危RCE漏洞可让攻击者完全控制主机系统
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
研究人员发现Redis存在一个潜伏13年的高危RCE漏洞(CVE-2025-49844),攻击者可通过特制Lua脚本完全控制主机。目前约33万个Redis实例暴露在互联网上,其中6万个未配置身份验证。建议用户立即升级并加强安全措施。
🎯
关键要点
- 研究人员发现Redis存在一个潜伏13年的高危远程代码执行漏洞(CVE-2025-49844)。
- 该漏洞允许攻击者通过特制Lua脚本完全控制底层主机系统。
- 漏洞评分达到最高10分,属于'释放后使用'(UAF)内存破坏漏洞。
- 攻击者可在Redis主机上实现任意代码执行,窃取、删除或加密数据。
- 约33万个Redis实例暴露在互联网上,其中6万个未配置身份验证。
- 官方Redis容器镜像默认情况下不需要身份验证,存在极大风险。
- 攻击流程包括发送恶意Lua脚本、突破沙箱、建立反向shell等。
- Redis已发布安全公告并推出修复版本,建议用户立即升级。
- 企业应实施安全加固最佳实践,包括启用强身份验证和使用最小权限账户。
❓
延伸问答
Redis的高危RCE漏洞是什么?
Redis存在一个编号为CVE-2025-49844的高危远程代码执行漏洞,允许攻击者通过特制Lua脚本完全控制主机系统。
这个漏洞的评分是多少?
该漏洞的CVSS评分达到最高10分。
攻击者如何利用这个漏洞?
攻击者通过发送恶意Lua脚本,突破沙箱环境,实现任意代码执行,从而完全控制系统。
目前有多少Redis实例暴露在互联网上?
约33万个Redis实例暴露在互联网上,其中约6万个未配置身份验证。
Redis用户应该采取什么措施来防范这个漏洞?
用户应立即升级Redis实例,启用强身份验证,并实施安全加固最佳实践,如使用最小权限账户和防火墙。
这个漏洞对企业的潜在影响是什么?
该漏洞可能导致攻击者窃取、删除或加密数据,甚至劫持系统资源进行加密货币挖矿,给企业带来显著风险。
➡️
