CVE-2025-49844 安全漏洞:背景、影响及应对
背景
CVE-2025-49844,被冠以“RediShell”之名,是一个针对流行开源内存数据存储系统 Redis 的严重远程代码执行(RCE)漏洞。该漏洞在 Redis 的 Lua 脚本引擎中潜藏了大约13年,本质是一个使用后释放(use-after-free)内存损坏错误。它的 CVSS 评分高达10.0,表明其严重性已达到临界级别。该漏洞由 Wiz 的安全研究人员于2025年5月发现并报告,Redis 已于2025年10月3日发布了补丁,修复版本为 8.2.2。
影响
攻击者在获得身份验证后,可以通过发送特制的 Lua 脚本来利用此漏洞。该脚本通过操纵垃圾收集器,触发 use-after-free 条件,从而可能在 Redis 进程内实现远程代码执行。成功利用此漏洞可导致沙盒逃逸,使攻击者能够未经授权地访问底层主机系统,并可能危及内存数据、会话令牌和应用程序状态。
受此漏洞影响的 Redis 版本包括所有启用 Lua 脚本功能的版本,直至并包括 8.2.1。
应对
为了有效缓解 CVE-2025-49844 带来的风险,建议采取以下措施:
- 及时更新 Redis 版本:最关键的应对措施是将 Redis 升级到已打补丁的版本,即 8.2.2 或更高版本。
- 限制网络访问:严格限制对 Redis 实例的网络访问,确保只有受信任的主机才能连接。
- 强制实施强身份验证:确保所有 Redis 实例都启用了强密码和身份验证机制。
- 启用保护模式(Protected Mode):如果 Redis 部署在不受信任的环境中,务必启用保护模式。
- 限制用户权限:对连接到 Redis 的用户施加最小权限原则,仅授予其完成任务所需的必要权限。
- 禁用或限制 Lua 脚本:如果应用程序不需要 Redis 的 Lua 脚本功能,应考虑禁用它。如果需要使用,则应严格限制脚本的执行环境和内容。
通过采取上述预防和缓解措施,可以显著降低 CVE-2025-49844 漏洞对系统造成的潜在威胁。