Redis已存在13年之久的Lua漏洞可导致远程代码执行

Redis官方针对CVE-2025-49844漏洞发布预警，该漏洞为Lua脚本漏洞，可通过释放后使用(UAF)实现远程代码执行（RCE），但攻击者需先获得认证访问权限方可利用。

Redis披露了这一高危RCE漏洞，漏洞编号为CVE-2025-49844（又称“RediShell”），CVSS评分为10.0（最高危级别）。攻击者可通过恶意Lua脚本利用垃圾回收机制触发“释放后使用”漏洞，进而实现远程代码执行。

漏洞核心信息：13年历史漏洞，突破沙箱限制

网络安全公司Wiz于2025年5月16日发现该漏洞，并向Redis官方报告。这是一个存在13年的“释放后使用”漏洞，恶意Lua脚本可借此突破沙箱限制，在主机上执行任意代码。 

该漏洞利用了Redis源代码中存在约13年的‘释放后使用’（UAF）内存损坏问题。已获得认证的攻击者可发送特制恶意Lua脚本——这是Redis默认支持的功能——突破Lua沙箱，在Redis主机上执行任意原生代码。这将使攻击者获得主机系统的完全访问权限，进而窃取、删除或加密敏感数据，劫持资源，并在云环境中横向移动。

漏洞披露时间线

1. 2025年5月16日：Wiz在柏林Pwn2Own赛事期间，首次向Redis提交漏洞报告；

2. 2025年10月3日：Redis发布安全公告，并为该漏洞分配CVE-2025-49844编号；

3. 2025年10月6日：Wiz研究团队发布相关博客文章，公开漏洞细节。

RediShell攻击链

CVE-2025-49844（RediShell）的攻击链流程如下：攻击者发送恶意Lua脚本触发“释放后使用”漏洞→突破Lua沙箱并执行任意代码→开启反向shell维持持久化访问→窃取凭证（如.ssh文件、IAM令牌、证书）→安装恶意软件或挖矿程序→从Redis及主机中窃取数据→利用被盗令牌访问云服务、提升权限，并横向渗透以进一步攻陷其他系统。

风险影响与防御建议

研究人员警告，该漏洞可能被用于发起实际攻击，包括窃取凭证、部署恶意软件、窃取数据，或横向渗透至其他云服务。不过，利用该漏洞需先获得Redis实例的认证访问权限，因此保护Redis实例的关键在于：避免暴露在公网、设置高强度认证。 

Redis安全公告明确：“[CVE-2025-49844] Lua脚本‘释放后使用’漏洞可能导致远程代码执行。已认证用户可通过特制Lua脚本操纵垃圾回收机制，触发‘释放后使用’漏洞，进而可能实现远程代码执行。”

漏洞影响范围与修复方案

影响版本：所有支持Lua脚本功能的Redis版本均受该漏洞影响（GitHub公告明确指出：“支持Lua脚本的所有Redis版本均存在此问题”）。

官方修复：Redis于2025年10月3日发布修复版本，包括6.2.20、7.2.11、7.4.6、8.0.4及8.2.2，建议立即升级。

临时缓解措施：通过访问控制列表（ACLs）限制“EVAL”和“EVALSHA”命令的使用，仅允许可信用户执行Lua脚本或其他高风险命令。

由于约75%的云环境使用Redis，该漏洞潜在影响范围极广。Wiz总结道：“RediShell（CVE-2025-49844）是影响所有Redis版本的高危安全漏洞，其根源在于底层Lua解释器。全球有数以十万计的Redis实例暴露在公网，该漏洞对各行业企业均构成重大威胁。”因此，建议企业立即对Redis实例进行排查，优先处理暴露在公网的问题。