Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。
近日,监测到Redis RESTORE命令远程代码执行漏洞。该漏洞存在于RESTORE命令处理序列化数据过程中,由于Redis对导入的序列化值缺少充分校验,攻击者可构造恶意序列化Payload触发非法内存访问,进而导致远程代码执行。未经充分限制的已认证用户在具备RESTORE命令执行权限的情况下,可利用该漏洞在Redis服务进程上下文中执行任意代码,进一步造成服务器失陷、敏感数据泄露等安全风险。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
7.2.0 <= Redis < 7.2.14
7.4.0 <= Redis < 7.4.9
8.2.0 <= Redis < 8.2.6
8.4.0 <= Redis < 8.4.3
8.6.0 <= Redis < 8.6.3
三、修复建议
官方已发布安全补丁,请及时更新至安全版本。
Redis 7.2.X >= 7.2.14
Redis 7.4.X >= 7.4.9
Redis 8.2.X >= 8.2.6
Redis 8.4.X >= 8.4.3
Redis 8.6.X >= 8.6.3