Redis Lua代码执行漏洞(CVE-2025-49844)通告
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
绿盟科技CERT监测到Redis存在Lua代码执行漏洞(CVE-2025-49844),攻击者可利用该漏洞执行任意代码。受影响版本为Redis 6.2.19及以下,建议用户尽快升级至安全版本。
🎯
关键要点
- 绿盟科技CERT监测到Redis存在Lua代码执行漏洞(CVE-2025-49844),攻击者可利用该漏洞执行任意代码。
- 受影响版本为Redis 6.2.19及以下,建议用户尽快升级至安全版本。
- 漏洞由于Redis的Lua脚本引擎在内存管理时存在释放后重利用漏洞,经过身份验证的攻击者可操纵内存回收机制。
- CVSS评分为10,目前漏洞PoC已公开,用户需尽快采取防护措施。
- 受影响的Redis版本包括6.2.19及以下、7.2.10及以下、7.4.5及以下、8.0.3及以下、8.2.1及以下。
- 不受影响的Redis版本包括6.2.20及以上、7.2.11及以上、7.4.6及以上、8.0.4及以上、8.2.2及以上。
- 官方已发布新版本修复漏洞,受影响用户应尽快升级。
- 若无法升级,可通过ACL限制Lua脚本执行,禁止EVAL和EVALSHA命令的使用。
- 绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
❓
延伸问答
Redis Lua代码执行漏洞的CVE编号是什么?
CVE-2025-49844
哪些版本的Redis受到Lua代码执行漏洞的影响?
受影响版本包括Redis 6.2.19及以下、7.2.10及以下、7.4.5及以下、8.0.3及以下、8.2.1及以下。
如何防护Redis Lua代码执行漏洞?
用户应尽快升级至安全版本,若无法升级,可通过ACL限制Lua脚本执行,禁止EVAL和EVALSHA命令的使用。
Redis Lua代码执行漏洞的CVSS评分是多少?
CVSS评分为10。
如果我使用的Redis版本不受影响,我应该关注什么?
虽然不受影响,但仍需关注官方发布的安全公告和更新,以确保系统安全。
绿盟科技对安全公告的责任是什么?
绿盟科技不对安全公告内容的使用后果承担责任,拥有修改和解释权。
➡️
