漏洞概况

Redis是一个开源的使用ANSIC 语言编写、遵守BSD协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。

微步情报局获取到Redis Lua远程代码执行漏洞（CVE-2025-49844）情报，经过认证的攻击者 可以使用精心构造的Lua脚本操控垃圾回收机制，触发释放后重用（Use-After-Free）漏洞，导致远程代码执行。

该漏洞需要身份认证，且限制条件较多，用户可根据自身业务情况酌情处置。

漏洞处置优先级(VPT)

漏洞影响范围

修复方案

官方修复方案：

官方已更新版本修复漏洞，请根据版本访问对应的链接进行更新。

https://github.com/redis/redis/releases

临时缓解措施：

• 建议受影响的用户优先排查Redis的对外开放情况、未授权情况、弱口令情况。

• 在不影响业务的情况下，通过使用ACL来限制EVAL和EVALSHA命令，阻止用户操控垃圾回收机制。