Redis 重大远程代码执行漏洞（CVE-2025-49844），CVSS 评分 10 分

图片

Wiz 研究团队在广泛使用的内存数据结构存储系统 Redis 中，发现了一处重大远程代码执行（RCE）漏洞 ——CVE-2025-49844，我们将其命名为  RediShell。该漏洞的 CVSS 评分为 10.0 分（注：部分来源显示评分为 9.9 分，具体取决于信息渠道），属于最高严重级别。

此漏洞利用的是 Redis 源代码中一处已存在约 13 年的 “释放后使用”（Use-After-Free，UAF）内存损坏漏洞。经过身份验证的攻击者可发送特制的恶意 Lua 脚本（Redis 默认支持该功能），突破 Lua 沙箱限制，在 Redis 主机上执行任意原生代码。这将使攻击者获得主机系统的完全控制权，进而窃取、删除或加密敏感数据，劫持资源，并在云环境中横向移动。

图片

鉴于约 75% 的云环境都在使用 Redis，该漏洞的潜在影响范围极广。我们强烈建议各机构立即对 Redis 实例进行补丁更新，尤其要优先处理暴露在互联网上的实例。2025 年 10 月 3 日，Redis 官方发布了安全公告，并推出了包含补丁的 Redis 新版本。在此，我们衷心感谢 Redis 团队在漏洞披露过程中的通力合作，感谢他们始终保持透明、积极响应，与我们携手推进此项工作。

本文将对该漏洞的发现过程及其影响进行概述。由于该漏洞波及范围广、敏感度高，为给受影响机构留出充足的修复时间，我们暂不公布漏洞利用细节，部分技术细节将在后续文章中逐步披露。所有使用 Redis 的机构均应立即将 Redis 实例更新至最新版本。

Redis 风险倍增

此次披露的 Redis 漏洞 RediShell（CVE-2025-49844）获 CVSS 10.0 分 —— 这一评分极为罕见，过去一年全球仅约 300 个漏洞获此评级，同时它也是首个被评为 “重大” 级别的 Redis 漏洞。该评分不仅反映了远程代码执行这一技术层面的严重性，也与 Redis 的常见使用场景和部署方式密切相关。

Redis 在云环境中被广泛用于缓存、会话管理及发布 / 订阅（pub/sub）消息传递。尽管 Redis 过往的安全记录良好，但此次漏洞与普遍存在的部署问题叠加，使其潜在危害大幅升级。

漏洞影响范围

Wiz 研究团队发现的远程代码执行漏洞 CVE-2025-49844，影响广泛使用的 Redis 数据库。该漏洞本质是 “释放后使用” 内存损坏漏洞：攻击者发送恶意 Lua 脚本后，可突破 Redis Lua 解释器沙箱的限制，执行任意代码并获取主机访问权限。

各机构修复漏洞的紧急程度，需根据 Redis 的安装方式及暴露范围来确定。

暴露情况分析

我们对云环境的分析显示，该漏洞的影响范围极为广泛：

• 截至本文发布时，约 33 万个 Redis 实例暴露在互联网上；
• 约 6 万个实例未配置身份验证；
• 57% 的云环境以容器镜像形式安装 Redis，其中多数未进行有效的安全加固。

图片

01 风险评估

重大风险 —— 暴露于互联网且未认证：Redis 官方容器默认无需身份验证。分析显示，57% 的云环境通过镜像安装 Redis，若部署时操作不当，这些实例可能完全缺失身份验证机制。“无身份验证” 与 “暴露于互联网” 的组合极具危险性：任何人都可访问 Redis 实例，尤其能发送默认启用的 Lua 脚本 —— 这使得攻击者可利用漏洞实现远程代码执行。

高风险 —— 仅暴露于内部网络：更多 Redis 实例仅在内部网络中暴露，这类场景下身份验证往往未被重视，导致内部网络中的任何主机都能连接数据库服务器。若攻击者已在云环境中站稳脚跟，便可通过访问这些实例窃取敏感数据，并利用漏洞执行任意代码，进而横向渗透至敏感网络区域。

02 攻击流程与危害

以下攻击流程展示了攻击者如何利用 RediShell（CVE-2025-49844）实现对系统的全面控制：

初始利用阶段

攻击者发送恶意 Lua 脚本，利用 “释放后使用” 漏洞发起攻击。

沙箱突破阶段

脚本突破 Lua 沙箱限制，执行任意代码，并建立反向 Shell 以维持持久访问。

系统受控阶段

• 窃取凭证（如 .ssh 密钥、IAM 令牌、证书等）；
• 安装恶意软件或加密货币挖矿程序；
• 从 Redis 及主机中窃取敏感数据。

横向移动阶段

• 利用窃取的 IAM 令牌访问其他云服务；
• 提升权限，并渗透至更多系统。

最终后果：主机远程代码执行

图片

强烈建议所有 Redis 用户立即升级实例，该漏洞的风险等级极高。

漏洞披露时间线

2025 年 5 月 16 日

在柏林 Pwn2Own 大会期间，首次向 Redis 官方提交漏洞报告；

2025 年 10 月 3 日

Redis 官方发布安全公告，并为该漏洞分配 CVE 编号（CVE-2025-49844）；

2025 年 10 月 6 日

Wiz 研究团队发布本文。

建议采取的措施

1. 立即更新 Redis

    升级至最新的补丁版本，优先处理暴露于互联网或未配置身份验证的实例；

2. 安全加固

• 启用 Redis 身份验证：通过 requirepass 指令设置密码；
• 禁用不必要的命令：若无需使用 Lua 脚本，可通过 Redis ACL 撤销用户的脚本执行权限，或直接禁用脚本相关命令；
• 以最低权限运行：使用非 root 用户账号启动 Redis 服务；
• 启用日志与监控：开启 Redis 日志功能，部署监控机制，实时追踪活动并识别潜在风险；
• 实施网络级访问控制：利用防火墙和虚拟专用云（VPC）限制网络访问；
• 限制 Redis 访问范围：仅允许授权网络访问 Redis 实例。

03 结论：务必紧急处理

RediShell（CVE-2025-49844）是一处重大安全漏洞，其根源在于底层 Lua 解释器，因此所有 Redis 版本均受影响。目前全球有数十万个 Redis 实例暴露在外，该漏洞对各行业机构均构成严重威胁。

Redis 的广泛部署、默认的不安全配置，再加上漏洞本身的高严重性，使得修复工作迫在眉睫。各机构必须优先完成 Redis 实例的更新，并部署有效的安全控制措施，防范漏洞被利用。

漏洞EXP&POC：https://github.com/raminfp/redis_exploit

攻击过程视频：https://www.youtube.com/watch?v=yOBt8irvao0&t=1s