Redis 官方针对 CVE-2025-49844 漏洞发布预警，该漏洞为 Lua 脚本漏洞，可通过释放后使用 ( UAF ) 实现远程代码执行（RCE），但攻击者需先获得认证访问权限方可利用。

Redis 披露了这一高危 RCE 漏洞，漏洞编号为 CVE-2025-49844（又称 "RediShell"），CVSS 评分为 10.0（最高危级别）。攻击者可通过恶意 Lua 脚本利用垃圾回收机制触发 " 释放后使用 " 漏洞，进而实现远程代码执行。

漏洞核心信息：13 年历史漏洞，突破沙箱限制

网络安全公司 Wiz 于 2025 年 5 月 16 日发现该漏洞，并向 Redis 官方报告。这是一个存在 13 年的 " 释放后使用 " 漏洞，恶意 Lua 脚本可借此突破沙箱限制，在主机上执行任意代码。 

该漏洞利用了 Redis 源代码中存在约 13 年的‘释放后使用’（UAF）内存损坏问题。已获得认证的攻击者可发送特制恶意 Lua 脚本——这是 Redis 默认支持的功能——突破 Lua 沙箱，在 Redis 主机上执行任意原生代码。这将使攻击者获得主机系统的完全访问权限，进而窃取、删除或加密敏感数据，劫持资源，并在云环境中横向移动。

漏洞披露时间线

1. 2025 年 5 月 16 日：Wiz 在柏林 Pwn2Own 赛事期间，首次向 Redis 提交漏洞报告；

2. 2025 年 10 月 3 日：Redis 发布安全公告，并为该漏洞分配 CVE-2025-49844 编号；

3. 2025 年 10 月 6 日：Wiz 研究团队发布相关博客文章，公开漏洞细节。

RediShell 攻击链

CVE-2025-49844（RediShell）的攻击链流程如下：攻击者发送恶意 Lua 脚本触发 " 释放后使用 " 漏洞→突破 Lua 沙箱并执行任意代码→开启反向 shell 维持持久化访问→窃取凭证（如 .ssh 文件、IAM 令牌、证书）→安装恶意软件或挖矿程序→从 Redis 及主机中窃取数据→利用被盗令牌访问云服务、提升权限，并横向渗透以进一步攻陷其他系统。

风险影响与防御建议

研究人员警告，该漏洞可能被用于发起实际攻击，包括窃取凭证、部署恶意软件、窃取数据，或横向渗透至其他云服务。不过，利用该漏洞需先获得 Redis 实例的认证访问权限，因此保护 Redis 实例的关键在于：避免暴露在公网、设置高强度认证。 

Redis 安全公告明确：" [ CVE-2025-49844 ] Lua 脚本‘释放后使用’漏洞可能导致远程代码执行。已认证用户可通过特制 Lua 脚本操纵垃圾回收机制，触发‘释放后使用’漏洞，进而可能实现远程代码执行。"

漏洞影响范围与修复方案

影响版本：所有支持 Lua 脚本功能的 Redis 版本均受该漏洞影响（GitHub 公告明确指出：" 支持 Lua 脚本的所有 Redis 版本均存在此问题 "）。

官方修复：Redis 于 2025 年 10 月 3 日发布修复版本，包括 6.2.20、7.2.11、7.4.6、8.0.4 及 8.2.2，建议立即升级。

临时缓解措施：通过访问控制列表（ACLs）限制 "EVAL" 和 "EVALSHA" 命令的使用，仅允许可信用户执行 Lua 脚本或其他高风险命令。

由于约 75% 的云环境使用 Redis，该漏洞潜在影响范围极广。Wiz 总结道："RediShell（CVE-2025-49844）是影响所有 Redis 版本的高危安全漏洞，其根源在于底层 Lua 解释器。全球有数以十万计的 Redis 实例暴露在公网，该漏洞对各行业企业均构成重大威胁。" 因此，建议企业立即对 Redis 实例进行排查，优先处理暴露在公网的问题。