Redis Lua代码执行漏洞(CVE-2025-49844)通告
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Redis存在Lua代码执行漏洞(CVE-2025-49844),攻击者可利用该漏洞执行任意代码。受影响版本为Redis 6.2.19及以下,建议用户尽快升级至安全版本。
🎯
关键要点
- 绿盟科技CERT监测到Redis存在Lua代码执行漏洞(CVE-2025-49844),攻击者可利用该漏洞执行任意代码。
- 受影响版本为Redis 6.2.19及以下,建议用户尽快升级至安全版本。
- 漏洞由于Redis的Lua脚本引擎在内存管理时存在释放后重利用漏洞,经过身份验证的攻击者可操纵内存回收机制。
- CVSS评分为10,目前漏洞PoC已公开,用户需尽快采取防护措施。
- 受影响的Redis版本包括6.2.19及以下、7.2.10及以下、7.4.5及以下、8.0.3及以下、8.2.1及以下。
- 不受影响的Redis版本包括6.2.20及以上、7.2.11及以上、7.4.6及以上、8.0.4及以上、8.2.2及以上。
- 官方已发布新版本修复漏洞,受影响用户应尽快升级。
- 若无法升级,可通过ACL限制Lua脚本执行,禁止EVAL和EVALSHA命令的使用。
- 绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
➡️
