国家漏洞库CNNVD：关于Redis资源管理错误漏洞的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Redis资源管理错误漏洞（CNNVD-202510-401、CVE-2025-49844）情况的报送。攻击者可以利用此漏洞，通过构造恶意请求导致远程代码执行。Redis多个版本均受此漏洞影响。目前，Redis官方已发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

Redis是美国Redis Labs公司的一套开源数据库，它支持字符串、哈希表、列表、集合等多种数据结构。该漏洞存在于Redis的Lua脚本执行模块中，由于程序缺乏适当的内存管理和输入验证机制，拥有低权限及以上用户权限的攻击者可通过构造特殊的Lua脚本触发漏洞，进而实现远程代码执行。

二、危害影响

Redis 8.0.4 -8.2.1版本、Redis 7.4.6-8.0.3版本、Redis 7.2.11-7.4.5版本、Redis 6.2.20-7.2.10版本均受此漏洞影响。

三、修复建议

目前，Redis官方已发布新版本修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。官方参考链接：

https://redis.io/downloads/

本通报由CNNVD技术支撑单位——中国银联股份有限公司、内蒙古旌云科技有限公司、内蒙古俊泰科技有限公司、重庆云立图科技有限公司、深圳海云安网络安全技术有限公司、北京时代新威信息技术有限公司等提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvd@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。