1. 漏洞背景
Redis 是一个内存数据结构存储,用作数据库、缓存、消息代理和流引擎。Redis 提供数据结构,例如 字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis内置了复制、Lua 脚本、LRU 驱逐、事务和不同级别的磁盘持久性,并通过 Redis Sentinel 和 Redis Cluster 自动分区提供高可用性。
2. 漏洞详情
Redis 存在一个严重漏洞,经过认证的攻击者可以利用该漏洞通过 Lua 脚本触发释放后重用,执行任意代码导致服务器失陷。漏洞编号:CVE-2025-49844,漏洞威胁等级:严重。
3. 漏洞影响
目前受影响的 Redis 版本:
Redis < 6.2.20
7.2.0 ≤ Redis < 7.2.11
7.4.0 ≤ Redis < 7.4.6
8.0.0 ≤ Redis < 8.0.4
8.2.0 ≤ Redis < 8.2.2
4. 处置建议
官方修复建议:
官方已修复最新版本修复该漏洞,建议受影响的 Redis 用户更新到8.2.2 及以上版本。
下载链接:https://github.com/redis/redis/releases/tag/8.2.2