概述
Redis 发布了 关键安全更新 修补新发现的漏洞(CVE-2025-49844) 对运行受影响 Redis 版本的服务器构成严重威胁。
该缺陷已被指定为 CVSS v3.1 评分为 9.9 分(满分 10 分),这标志着它是最近 Redis 版本中最严重的漏洞之一。
影响
一个 已认证攻击者 可以通过上传 恶意编写的脚本,可能导致 远程代码执行(RCE) 在 Redis 主机上。
成功利用此漏洞可能会导致 未经授权的访问, 数据泄露,甚至 完全系统接管.
受影响的版本
以下 Redis 版本受到影响:
Redis 软件 之前:
7.22.2-12
7.8.6-207
7.4.6-272
7.2.4-138
6.4.2-131
Redis OSS/社区版 之前:
8.2.2
8.0.4
7.4.6
7.2.11
Redis 堆栈 之前:
7.4.0-v7
7.2.0-v19
缓解措施和最佳实践
Redis 用户和管理员 强烈建议立即更新 到最新的修补版本。
如果无法升级,请采取以下预防措施:
限制 Redis 访问 可信内部网络 仅有的。
禁用或监控脚本上传 小心。
审查 系统和 Redis 日志 用于不寻常的活动。
QUAPE 如何保护我们的客户
在 QUAPE,安全是我们的首要任务。
为了减轻外部剥削的风险, 默认情况下,所有外部 Redis 端口均被阻止 在我们的托管基础设施上。
Redis 服务只能通过以下方式访问 安全的内部网络 或者 通过经过身份验证的连接,大大减少了潜在攻击的风险。
我们还验证了 QUAPE 管理的所有 Redis 实例都是 已修补且不受影响 受此漏洞影响。
对于运营自己的 Redis 服务器的客户,我们强烈建议立即应用最新更新。
如果您需要帮助验证环境的安全性,我们的技术团队可以为您提供帮助。
📘 参考:
https://redis.io/blog/security-advisory-cve-2025-49844/
- Redis 严重漏洞 (CVE-2025-49844) - 2025 年 10 月 18 日
- 2025年最佳SSD VPS排名:#5 - 2025 年 4 月 8 日
- WP Engine 被 WordPress 禁用 - 2025 年 3 月 28 日
