【漏洞通告】Redis代码执行漏洞（CVE-2024-46981）

文章预览

一、漏洞概述 漏洞名称 Redis代码执行漏洞 CVE   ID CVE-2024-46981 漏洞类型 Use-After-Free 发现时间 2025-01-07 漏洞评分 7.0 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Redis是一个高性能、灵活且易于扩展的键值存储数据库，适用于各种应用场景，可作为缓存、数据库和消息中间件等，具有出色的性能和稳定性。 2025年1月7日，启明星辰集团VSRC监测到Redis中修复了一个代码执行漏洞（CVE-2024-46981），该漏洞的CVSS评分为7.0。 Redis 的 Lua 脚本引擎在处理内存管理时存在漏洞，经过身份验证的用户可以使用特制的 Lua 脚本来操纵内存回收机制，通过Redis提供的 EVAL 和 EVALSHA 命令运行该恶意 Lua 脚本，从而可能利用该漏洞在 Redis 服务器上执行任意代码。 二、影响范围 Redis < 7.4.2 Redis < 7.2.7 Redis < 6.2.17 注：如果 Re ………………………………