redis 数据库项目近日发布了安全补丁,用于修复一个编号为 cve-2025-49844 的高危漏洞(由 google wiz 团队命名为“redishell”)。
该漏洞位于 Redis 的 Lua 脚本执行模块中,攻击者可通过构造恶意脚本来触发远程代码执行(RCE),从而完全控制受影响的服务器系统。
此漏洞影响自 2012 年以来发布的所有 Redis 版本,涵盖过去 13 年间的主流版本(如 6.x、7.x 和 8.x)。由于 Lua 脚本功能在 Redis 中默认开启,且许多历史版本未强制启用身份验证机制,导致大量部署在公网的实例处于高风险状态。
问题的根本原因在于 Redis 的 Lua 解释器存在 Use-After-Free 类型的内存安全缺陷。攻击者只需发送一次认证请求(即使提供错误密码),再结合特制的 Lua 脚本,即可突破沙箱限制,造成内存破坏并植入反向 Shell。目前,相关利用代码已在安全研究圈内公开传播,攻击门槛极低。
尽管触发该漏洞需通过身份验证,但其 CVSSv3 评分仍高达 10 分(最高级),主要原因如下:
来源:https://www.php.cn/link/ef7412faef2bb19790400382abdd532d
源码地址:点击下载
以上就是Redis 发布安全更新,修复“RediShell”漏洞的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
485
收藏
