Redis远程代码执行漏洞预警（CVE-2025-49844）

2025-11-03

一、概要

近日，华为云关注到Redis 官方发布安全通告，披露Redis存在一处远程代码执行漏洞（CVE-2025-49844）。此漏洞利用的是 Redis 源代码中一处“释放后使用”（Use-After-Free，UAF）内存损坏漏洞。经过身份验证的攻击者可发送特制的恶意 Lua 脚本（Redis 默认启用该功能），突破 Lua 沙箱限制，在 Redis 主机上执行任意代码。

Redis 是当前互联网世界最为流行的存储数据库。华为云提醒使用Redis的用户及时安排自检并做好安全加固。

参考链接：

https://nvd.nist.gov/vuln/detail/CVE-2025-49844

https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Redis < 6.2.20

Redis < 7.2.11

Redis < 7.4.6

Redis < 8.0.4

Redis < 8.2.2

安全版本：

Redis >= 6.2.20

Redis >= 7.2.11

Redis >= 7.4.6

Redis >= 8.0.4

Redis >= 8.2.2

四、漏洞处置

1.目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/redis/redis/releases

2.缓解措施：

如果受影响的用户无法及时升级，可通过以下方式进行缓解：

1）限制普通用户执行 EVAL 和 EVALSHA 命令；

2）务必为Redis配置强密码，或配置安全组策略，限制Redis仅对可信IP地址开放，严禁未经授权的访问。

注：修复漏洞前请将资料备份，并进行充分测试。