近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,Redis数据库存在内存释放后重用超危漏洞。
Redis是一款开源的内存数据库,广泛应用于缓存、消息队列、实时计算等方面。经过身份验证的低权限攻击者可构造恶意Lua脚本操控垃圾回收器,触发内存释放后重用漏洞,可能导致远程代码执行,获取服务器控制权限,受影响版本包括Redis Software<7.22.2-20、<7.8.6-207、<7.4.6-272、<7.2.4-138、<6.4.2-131,以及带有Lua脚本功能的Redis OSS/CE<8.2.2、<8.0.4、<7.4.6、<7.2.11和Redis Stack<7.4.0-v7、<7.2.0-v19。
目前,Redis官方已修复漏洞并发布安全公告(URL链接:https://redis.io/blog/security-advisory-cve-2025-49844),建议相关单位和用户立即开展隐患排查,及时升级至最新安全版本,或采取限制网络访问、强制执行身份验证、限制用户最小权限等安全加固措施,防范网络攻击风险。
感谢北京微步在线科技有限公司、深信服科技股份有限公司提供技术支持。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
