一、组件介绍

Redis 是一个开源（BSD 许可）的内存数据结构存储，用作数据库、缓存、消息代理和流引擎。Redis 提供数据结构，例如 字符串、散列、列表、集合、带范围查询的排序集合、位图、超日志、地理空间索引和流。Redis 内置了复制、Lua 脚本、LRU 驱逐、事务和不同级别的磁盘持久性，并通过Redis Sentinel和Redis Cluster自动分区提供高可用性。

二、漏洞描述

2025年10月9日，深瞳漏洞实验室监测到一则Redis组件存在代码执行漏洞的信息，漏洞编号：CVE-2025-49844，漏洞威胁等级：严重。

Redis存在一个严重漏洞，经过认证的攻击者可以利用该漏洞通过Lua脚本触发释放后重用，执行任意代码导致服务器失陷。

三、影响范围

目前受影响的Redis 版本：

Redis < 6.2.20

7.2.0 ≤ Redis < 7.2.11

7.4.0 ≤ Redis < 7.4.6

8.0.0 ≤ Redis < 8.0.4

8.2.0 ≤ Redis < 8.2.2

四、解决方案

1)如何检测组件系统版本

Redis服务启动后可在日志中获取当前版本号。

2)官方修复建议。

官方已修复最新版本修复该漏洞，建议受影响的Redis用户更新到8.2.2以下及以上版本。

下载链接：https://github.com/redis/redis/releases/tag/8.2.2