【安全通告】Redis 远程代码执行漏洞风险通告（CVE-2025-49844）

尊敬的腾讯云用户，您好！

腾讯云安全中心监测到， Redis 官方发布安全通告，披露了其存在远程代码执行漏洞，漏洞编号CVE-2025-49844。可导致经过身份验证的远程攻击者执行任意代码等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Redis 是一个开源的使用 ANSI C 语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value 数据库，并提供多种语言的 API。

据官方描述，在 Redis 的 Lua 脚本引擎的垃圾回收机制中存在 Use After Free 漏洞，经过身份验证的远程攻击者可通过构造特殊的 Lua 脚本触发，从而最终可能导致远程任意代码的执行等。

注：所有使用 Lua 脚本的 Redis 都受该漏洞影响。

目前该漏洞的漏洞细节、POC已公开。

风险等级

高风险

漏洞风险

经过身份验证的远程攻击者利用该漏洞可执行任意代码等危害。

影响版本

Redis < 6.2.20

Redis < 7.2.11

Redis < 7.4.6

Redis < 8.0.4

Redis < 8.2.2

安全版本

Redis >= 6.2.20

Redis >= 7.2.11

Redis >= 7.4.6

Redis >= 8.0.4

Redis >= 8.2.2

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本

https://github.com/redis/redis/releases

2. 缓解措施：

阻止用户执行 Lua 脚本：可通过访问控制列表同时限制普通用户执行 EVAL 和 EVALSHA 命令进行缓解。

#编辑配置文件 /etc/redis/redis.conf

#启用认证

requirepass your_strong_password_here

#限制网络访问

bind 127.0.0.1 ::1

protected-mode yes

#禁用危险命令

rename-command FLUSHDB ""

rename-command FLUSHALL ""

rename-command CONFIG ""

rename-command EVAL ""

rename-command EVALSHA ""

#开启日志

loglevel notice

logfile /var/log/redis/redis-server.log

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539

https://nvd.nist.gov/vuln/detail/CVE-2025-49844

2025-10-09