安全通告

                                                 关于Redis Lua脚本远程代码执行漏洞的预警通报

                                                                                         发布日期：2025-11-03

                                                                                         [2025]012号

漏洞描述

2025年11月03日监测发现，Redis Lua存在远程代码执行漏洞(CVE-2025-49844)，该漏洞是一个“释放后重用”(Use-After-Free) 内存损坏漏洞。此缺陷在 Redis 代码中已存在约13年之久。它允许经过认证的攻击者向 Redis 服务器发送一个精心构造的恶意Lua脚本来触发内存损坏，最终绕过Redis Lua沙箱，导致在Redis服务器上执行任意代码。

Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。Redis 提供数据结构，例如：字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis 内置了复制、Lua 脚本、LRU 驱逐、事务和不同级别的磁盘持久性，并通过Redis Sentinel和Redis Cluster自动分区提供高可用性。

漏洞编号

CVE-2025-49844

漏洞危害

成功利用该漏洞可导致远程代码执行(RCE)，攻击者可以完全控制服务器、窃取敏感数据（如会话令牌、凭证）、部署恶意软件（如挖矿程序），并以此为跳板在内网中进行横向移动。

漏洞等级

高危
受影响版本

version < 6.2.20

7.2.0 <= version < 7.2.11

7.4.0 <= version < 7.4.6

8.0.0 <= version < 8.0.4

8.2.0 <= version < 8.2.2

修复方案

目前官方已更新版本修复漏洞，建议受影响用户升级至安全版本，链接如下 ：

https://redis.io/blog/security-advisory-cve-2025-49844/

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2025-49844

https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539