关于Redis代码执行漏洞（CVE-2024-46981）的安全预警

一、 基本情况

Redis是一个高性能、灵活且易于扩展的键值存储数据库，适用于各种应用场景，可作为缓存、数据库和消息中间件等，具有出色的性能和稳定性。

二、 漏洞描述

Redis中修复了一个代码执行漏洞（CVE-2024-46981），该漏洞的CVSS评分为7.0。

Redis 的 Lua 脚本引擎在处理内存管理时存在漏洞，经过身份验证的用户可以使用特制的 Lua 脚本来操纵内存回收机制，通过Redis提供的 EVAL 和 EVALSHA 命令运行该恶意 Lua 脚本，从而可能利用该漏洞在 Redis 服务器上执行任意代码。

三、 影响范围

Redis < 7.4.2

Redis < 7.2.7

Redis < 6.2.17

注：如果 Redis 配置未限制 Lua 脚本执行（例如通过 ACL 配置限制 EVAL 和 EVALSHA 命令），则使用 Lua 脚本的 Redis 会受到该漏洞的影响。

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Redis >= 7.4.2

Redis >= 7.2.7

Redis >= 6.2.17

下载链接：

https://github.com/redis/redis/tags

五、 参考链接

https://github.com/redis/redis/security/advisories/GHSA-39h2-x6c4-6w4c

https://nvd.nist.gov/vuln/detail/CVE-2024-46981