文章预览
一、漏洞概述 漏洞名称 Redis代码执行漏洞 CVE ID CVE-2024-46981 漏洞类型 Use-After-Free 发现时间 2025-01-07 漏洞评分 7.0 漏洞等级 高危 攻击向量 本地 所需权限 低 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Redis是一个高性能、灵活且易于扩展的键值存储数据库,适用于各种应用场景,可作为缓存、数据库和消息中间件等,具有出色的性能和稳定性。 2025年1月7日,启明星辰集团VSRC监测到Redis中修复了一个代码执行漏洞(CVE-2024-46981),该漏洞的CVSS评分为7.0。 Redis 的 Lua 脚本引擎在处理内存管理时存在漏洞,经过身份验证的用户可以使用特制的 Lua 脚本来操纵内存回收机制,通过Redis提供的 EVAL 和 EVALSHA 命令运行该恶意 Lua 脚本,从而可能利用该漏洞在 Redis 服务器上执行任意代码。 二、影响范围 Redis < 7.4.2 Redis < 7.2.7 Redis < 6.2.17 注:如果 Re
………………………………
