关键Lua引擎漏洞PoC利用代码公开
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Redis 7.4.5版本的Lua脚本引擎发现三个高危漏洞,可能导致远程代码执行和权限提升。Redrays安全团队已发布PoC,建议相关组织立即升级修复版本以防攻击。
🎯
关键要点
- Redis 7.4.5版本的Lua脚本引擎发现三个高危漏洞,可能导致远程代码执行和权限提升。
- Redrays安全团队已发布PoC,建议相关组织立即升级修复版本以防攻击。
- 释放后使用漏洞(CVE-2025-49844)源于TString对象保护不足,攻击者可利用此漏洞实现远程代码执行。
- 整数溢出漏洞(CVE-2025-46817)在unpack()函数中存在缺陷,攻击者可通过构造极端参数导致栈损坏。
- 元表权限提升漏洞(CVE-2025-46818)由于基础类型元表未正确设置为只读,攻击者可篡改元表实现权限提升。
- RedRays发布的PoC验证了三个漏洞的危害性,自动化执行多项测试。
- Redis管理员必须立即升级至修复版本,以防止攻击者利用这些漏洞实现远程代码执行和未授权权限提升。
- 所有暴露在互联网或不可信环境中的Redis实例应优先打补丁。
➡️
