Redis 源代码中存在潜伏 13 年的 10 级漏洞，可能允许远程代码执行

本文最初发布于 The Register 博客。

Redis 服务器有一个存在长达 13 年的严重漏洞，其严重性评级为最高级别 10 级。该漏洞使得经过身份验证的用户能够触发远程代码执行。

使用 Redis Cloud 服务的用户无需采取任何措施，该服务已完成升级，修复了这个漏洞。但使用该内存数据库自托管版本的用户（包括 OSS、CE、Stack 及 Software 版本）请立即升级到 这里 列出的最新版本。

该安全漏洞编号为 CVE-2025-49844，影响所有提供 Lua 脚本功能的 Redis 版本。经过身份验证的攻击者可以发送恶意 Lua 脚本，操控垃圾回收器（Redis 内存管理系统，旨在防止内存泄漏），触发“释放后使用”的漏洞，最终可能导致 Redis 服务器进程中出现远程代码执行。

据发现此漏洞的 Wiz 研究员 Benny Isaacs 和 Nir Brakha 透露，尤其令人担忧的是，该漏洞已在 Redis 源代码中存在长达 13 年之久。他们是通过趋势科技的零日计划（ZDI）漏洞猎手发现了这一安全隐患。

Isaacs 和 Brakha 在分享给 The Register 的警示信息中指出，“鉴于 Redis 被用于约 75% 的云环境，潜在影响范围极广，强烈建议各机构立即修复实例，尤其要优先处理那些暴露在互联网上的实例。"

他们补充道，目前仍有约 33 万个 Redis 实例暴露在互联网上，其中 6 万个实例未配置身份验证机制。

在 10 月 3 日发布的安全公告中，Redis 首席信息安全官里 Riaz Lakhani 表示，“我们尚未发现 Redis Cloud 中漏洞被利用的证据，也没有看到客户环境中漏洞被利用的报告。”

但考虑到该漏洞潜伏已久，建议用户还是检查下自己的操作环境中是否存在任何遭到入侵的迹象。

Lakhani 指出，相关迹象包括：未经授权或未知来源的 Redis 数据库访问、异常网络进出流量、数据库中存在未知脚本、无法解释的服务器崩溃（特别是 Lua 引擎的堆栈跟踪信息）以及意料之外的命令执行。

此外，建议通过防火墙和网络策略将访问权限限制为可信来源，确保未经授权的用户无法访问该数据库，并强制要求所有访问 Redis 实例的操作进行凭证验证。

原文链接：

https://www.theregister.com/2025/10/06/perfect_10_redis_rce_lurking

声明：本文为 InfoQ 翻译，未经许可禁止转载。

今日好文推荐

Python新版本去GIL刷屏，Karpathy 点赞敢死队，Python 之父：冷静，别神话并发

“杀死每家AI初创、造超级OS”？奥特曼的野望惊现缺口：资深人士曝出三大瓶颈

“你的Agent，我一周末就能做出来！” AI时代的护城河：Cursor 卷每日迭代速度，DeepSeek 用技术撕大厂规模优势

5个月内失败十几次，几人团队在压力下做出爆款App！网友：AI时代懂人性比懂技术更重要