全球8500多个Redis实例面临RediShell漏洞RCE攻击
该漏洞被Wiz研究人员命名为 "RediShell "(CVE-2025-49844),攻击者可利用此漏洞突破Lua沙箱限制,在受影响系统上实现主机级别的远程代码执行。 2025年10月初,网络安全领域
研究人员Wiz将这个漏洞命名为"RediShell"(CVE-2025-49844)。攻击者能利用此漏洞绕过Lua沙箱限制,在受影响系统上实现主机级别的远程代码执行。
2025年10月初,网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。
这一漏洞由Wiz研究团队命名为"RediShell"(CVE-2025-49844)。恶意攻击者可以借此突破Lua沙箱的防护机制,在受影响的系统上获得主机级别的远程代码执行能力。

RediShell远程代码执行漏洞示意图(来源:CriminalIP)
该漏洞源于Redis核心架构中长期积累的缺陷,其影响可追溯至2012年左右引入的易受攻击代码路径。
攻击的广泛性和严重性立刻显现出来。截至2025年10月27日,CriminalIP分析师发现全球仍有超过8500个Redis实例面临攻击风险。
这些实例直接暴露在公共互联网上,为采用自动化扫描技术的威胁行为者创造了关键攻击窗口。在未启用认证机制的环境中(这在开发和遗留部署中出人意料地常见),攻击者无需任何凭证即可投递恶意Lua脚本,大大降低了成功利用的门槛。
受影响系统全球分布
受影响的系统在全球分布不均,某些地区存在令人担忧的集中情况。CriminalIP研究人员指出,美国拥有最多易受攻击实例(1887个),其次是法国(1324个)和德国(929个),这三个国家合计占全球暴露总量的50%以上。
这种地理集聚现象表明,这些地区的企业环境中要么存在针对特定基础设施枢纽的蓄意攻击,要么普遍采用了未打补丁的Redis实例。
沙箱逃逸与利用机制
RediShell的技术基础是通过特制的Lua脚本操纵Redis的垃圾回收行为。攻击者发送针对释放后重用条件的恶意脚本,使脚本能够突破Lua沙箱环境的限制。
一旦逃逸出沙箱,脚本就能以Redis进程的权限执行任意原生代码。典型的利用过程包括:首先通过投递恶意Lua脚本实现初始入侵,随后逃逸沙箱,安装反向shell或后门以维持持久访问,最后窃取凭证以便在更广泛的基础设施中进行横向移动。
该漏洞将看似数据缓存服务转变为完整的系统入侵入口点。运行受影响Redis实例且未实施适当认证或网络分段的企业,面临基础设施完全被接管、数据外泄以及部署加密货币挖矿程序和勒索软件等次级载荷的直接风险。
漏洞详情
缓解措施
立即打补丁仍然是绝对优先事项。企业应按照最新安全公告的建议,立即升级至已修复的Redis版本。
对于无法立即打补丁的环境,可通过AUTH或ACL配置启用认证、限制对6379端口的网络访问以及禁用EVAL和EVALSHA等Lua执行命令来提供临时保护层。通过威胁情报平台持续监控基础设施中的暴露情况和利用尝试至关重要。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
在他人恐惧时保持贪婪 SK海力士DRAM定价与盈利依旧强劲
最近,半导体与AI基础设施领域的一家顶级研究机构SemiAnalysis发布了一份题为《在他人恐惧时保持贪婪:SK海力士的DRAM定价与盈利依旧强劲》的报告,一下子就把市场的注意力拉回到了SK海力士身上。这份报告的核心结论相当明确:SK海力士在2026年第二季度乃至更远的未来,DRAM业务的盈利能力
创业板指重挫超4% 微盘股逆势涨2.5%
7月10日尾盘,A股极端分化:创业板指与科创50均跌超4%,深成指跌逾2%,沪指跌0 8%,而微盘股逆势大涨2 5%,风格分化显著,市场避险情绪升温。
试驾体验对购车决策的影响 动力操控舒适成关键
试驾体验直接影响购车决策,动力响应、操控精准度、座椅舒适性及NVH表现等细节决定长期用车幸福感。不同试驾感受对动力焦虑、驾驶信心和日常心情有显著差异,全面模拟真实场景的试驾有助于选到称心车辆。
比亚迪全球首个1700万辆新能源汽车下线里程碑
比亚迪成为全球首家新能源汽车累计下线突破1700万辆的车企,第1700万辆车型为海豹08。这一里程碑得益于技术攻坚、产品矩阵完善及海外市场渗透,从刀片电池到DM-i等系统化技术为规模化铺路,展现产业链掌控力与迭代速度。
荣耀MagicOS 11爆料:YOYO Claw支持自定义AI大模型,安卓阵营最果液态玻璃UI
全新荣耀MagicOS11系统内置YOYO智能体,支持自定义AI大模型,可操控第三方应用,并具备长期记忆与技能商店。系统采用安卓首创的动态全屏通透液态玻璃界面,支持自定义光影效果,实现“果味”动效体验。
- 热门数据榜
相关攻略
2026-07-14 12:45
2026-07-14 12:45
2026-07-14 12:45
2026-07-14 12:44
2026-07-14 12:44
2026-07-14 12:44
2026-07-14 12:44
2026-07-14 12:43
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
热门话题

