Redis是广泛使用的同名内存数据结构存储背后的公司，该公司已发布针对严重漏洞CVE-2025-49844的补丁，该漏洞可能允许攻击者完全访问底层主机系统。

Wiz研究人员指出：“此漏洞允许后身份验证攻击者发送特制的恶意Lua脚本（Redis默认支持的功能）以逃离Lua沙箱并在Redis主机上实现任意本机代码执行。”

更糟糕的是，官方Redis容器镜像默认禁用身份验证。

研究人员补充道：“我们的分析显示，57%的云环境将Redis以镜像形式安装。如果安装不当，这些实例可能完全缺乏身份验证。缺乏身份验证加上暴露在互联网上，这种结合非常危险，任何人都可以查询Redis实例，特别是发送Lua脚本。这使得攻击者能够利用此漏洞并在环境中实现远程代码执行(RCE) 。

CVE-2025-49844被发现并报告该漏洞的Wiz研究人员称为RediShell，它源于一个使用后释放内存损坏漏洞，该漏洞可能允许攻击者通过特制的Lua脚本操纵Redis的垃圾收集器。

Wiz研究人员指出，一旦易受攻击的Redis安装被攻破，底层主机受到威胁，攻击者可能会建立持久访问，安装加密矿工或恶意软件，从Redis和主机窃取敏感数据，泄露/窃取凭证并使用其中一些（例如IAM令牌）访问其他云服务。

该漏洞代码于2012年被添加到Redis的代码库中。因此，CVE-2025-49844会影响使用Lua脚本的Redis（服务器）版本：v8.2.1及更早版本。

该漏洞已在以下版本中修复：

（商业、闭源）Redis软件版本 - 7.22.2-12及更高版本、7.8.6-207及更高版本、7.4.6-272及更高版本、7.2.4-138及更高版本、6.4.2-131及更高版本 Redis OSS/CE（开源/社区版）带有Lua脚本的版本：8.2.2及更高版本、8.0.4及更高版本、7.4.6及更高版本、7.2.11及更高版本 Redis Stack版本：7.4.0-v7及更高版本、7.2.0-v19及更高版本。

Wiz研究人员表示，互联网上大约有330000个暴露的Redis实例，其中约60000个没有配置身份验证。

德国联邦信息安全局（BSI）也发布了有关该漏洞的警报，指出仅在德国就有大约4000台Redis服务器未经身份验证而暴露。

BSI指出，鉴于攻击的简单性和Redis的广泛使用，预计很快就会出现利用尝试，特别是一旦技术细节公开。

Wiz目前尚未透露技术细节。

建议IT管理员立即安装更新，或者使用访问控制列表(ACL)限制EVAL和EVALSHA命令以禁用Lua脚本。

Wiz研究人员还建议通过以下方式强化Redis安装：

1. 启用身份验证

2. 禁用不必要的命令

3. 使用非root用户账户操作Redis

4. 激活Redis日志记录和监控以跟踪活动并识别潜在问题

5. 实施网络级访问控制

6. 限制仅从授权网络访问Redis。