CVE-2025-49844 — удаленное выполнение кода в Redis
CVE-2025-49844 — уязвимость удаленного выполнения кода в Redis. Аутентифицированный пользователь может использовать специально созданный Lua-скрипт для манипуляций со сборщиком мусора, вызывая Use-After-Free, что может привести к удаленному выполнению кода. Уязвимость затрагивает версии Redis до 8.2.2.
Плановый срок устранения уязвимости — 30 декабря 2025 года.
Инстанс Redis будет уязвим, если одновременно выполнены следующие условия:
Доступ к инстансу возможен из внешних сетей;
Пароль для доступа к инстансу отсутствует или скомпрометирован;
Инстанс поддерживает использование команд EVAL и EVALSHA.
Как повысить безопасность инстанса
Ограничьте доступ из публичной сети или настройте белый список для доступа к инстансу только с разрешенных IP-адресов.
Включите для инстанса аутентификацию по паролю или измените пароль.
Отключите команды EVAL и EVALSHA, переименовав их, и перезапустите сервис для вступления изменений в силу.
В настоящий момент для переименования команд обратитесь в техническую поддержку.
ПримечаниеПеред отключение команд оцените влияние на бизнес-операции.
CVE-2024-46981 — удаленное выполнение кода в Redis
CVE-2024-46981 — уязвимость удаленного выполнения кода в Redis. Аутентифицированный пользователь может использовать специально созданный Lua-скрипт для манипуляций со сборщиком мусора, что может привести к удаленному выполнению кода. Проблема была исправлена в версиях 7.4.2, 7.2.7 и 6.2.17.
Серьезность: важная
Затронутые версии Redis:
ниже 7.4.2;
ниже 7.2.7;
ниже 6.2.17.
Как устранить уязвимость
Чтобы ограничить запуск Lua-скриптов пользователями, настройте ACL-ограничения на использование команд EVAL и EVALSHA.
- CVE-2025-49844 — удаленное выполнение кода в Redis
- CVE-2024-46981 — удаленное выполнение кода в Redis