漏洞描述
Redis 是一个持久保存在磁盘上的开源内存数据库。8.2.1 及更低版本允许经过身份验证的用户使用特制的 Lua 脚本来作垃圾收集器,触发释放后使用,并可能导致远程代码执行。该问题存在于所有版本的 Redis 和 Lua 脚本中。此问题已在 8.2.2 版本中修复。要在不修补 redis-server 可执行文件的情况下解决此问题,可以阻止用户执行 Lua 脚本。这可以使用 ACL 来限制 EVAL 和 EVALSHA 命令来完成。
Redis Lua 脚本 代码执行漏洞(CVE-2025-49844)
PoC代码
暂无相关漏洞推荐
- Redis 存在远程代码执行漏洞(CVE-2025-49844)
- POC CVE-2022-0543: Redis Sandbox Escape - Remote Code Execution
- POC ec2-unrestricted-redis: Unrestricted Redis Access
- POC cache-redis-encryption-disabled: ElastiCache Redis In-Transit and At-Rest Encryption - Disabled
- POC cache-redis-multiaz-disabled: ElastiCache Redis Multi-AZ - Disabled
- POC azure-redis-nonssl-port-disabled: Azure Redis Cache In-Transit Encryption Not Enabled
- POC azure-redis-tls-version-outdated: Azure Redis Cache TLS Version Not Latest
- POC redis-unauthorized: Redis Unauthorized
- POC redis-config: Redis Configuration File - Detect
- POC redis-exception-error: Redis Exception Connection Error Page
- POC flask-redis-docker: Flask Redis Queue Docker - Exposure
- POC unauth-redis-insight: RedisInsight - Unauthenticated Access
- POC CVE-2025-46817: Redis < 8.2.1 lua script - Integer Overflow