点击上方
漏洞预警
守/护/网/络/安/全
1、漏洞描述
近日,易云科技监测到一则Redis远程代码执行漏洞。
Redis全称为RemoteDictionaryServer(远程数据服务),是一个高性能、灵活且易于扩展的键值存储数据库,适用于各种应用场景,可作为缓存、数据库和消息中间件等,具有出色的性能和稳定性。
1.漏洞编号:CVE-2024-46981
2.发现时间:2025-1-8
3.漏洞类型:远程代码执行
4.漏洞等级:高危
5.PoC/EXP:未公开
6.在野利用:否
2、漏洞危害
Redis的Lua脚本引擎在处理内存管理时存在漏洞,经过身份验证的用户可以使用特制的Lua脚本来操纵内存回收机制,通过Redis提供的EVAL和EVALSHA命令运行该恶意Lua脚本,从而可能利用该漏洞在Redis服务器上执行任意代码。
3、受影响版本
Redis < 7.4.2
Redis < 7.2.7
Redis < 6.2.17
注:如果Redis配置未限制Lua脚本执行(例如通过 ACL 配置限制 EVAL 和 EVALSHA 命令).则使用Lua脚本的Redis会受到该漏洞的影响。
4、处置建议
升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
Redis >= 7.4.2
Redis >= 7.2.7
Redis >= 6.2.17
下载地址:https://github.com/redis/redis/tags
免责声明
本文仅供技术分享之用,请勿进行任何非法测试。对于因传播和利用本公众号"易云安全应急响应中心"所提供的信息而导致的后果和损失,使用者将承担全部责任。本公众号及作者对此不承担任何法律责任。如有侵权,请及时告知,我们将立即删除并致以诚挚的歉意。
END
淮安易云科技有限公司-网络安全部
易云安全应急响应中心
扫描二维码
获取更多精彩
壹伴编辑器
往期推荐
日常网络安全防范:牢记“四要”与“四不要”原则!
Bugku安全加固靶场实战:解题策略与技术分享
常见钓鱼邮件大盘点:如何识别与防范
转发
收藏
点赞
在看