CVE-2025-46819 Redis Lua脚本越界读取与拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-46819

漏洞类型

越界读取/拒绝服务

CVSS评分

6.3 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Redis

漏洞概述

CVE-2025-46819是Redis开源内存数据库中的一个中等严重性安全漏洞，存在于所有启用Lua脚本功能的Redis版本中。该漏洞允许经过身份验证的低权限用户通过精心构造的恶意Lua脚本实现越界数据读取，或导致Redis服务器崩溃进而引发拒绝服务攻击。Redis作为广泛使用的内存数据结构存储系统，常被用于缓存、消息队列、会话存储等关键业务场景，一旦被利用可能导致敏感数据泄露或服务中断，对业务连续性构成严重威胁。该漏洞的CVSS 3.1评分为6.3分，攻击向量为本地（AV:L），攻击复杂度较高（AC:H），需要低权限认证（PR:L），无需用户交互（UI:N），对机密性影响为高（C:H），对完整性无影响（I:N），对可用性影响为高（A:H）。Redis官方已在8.2.2版本中修复了该问题，建议所有使用受影响版本的用户尽快升级以消除安全隐患。该漏洞由GitHub安全顾问团队发现并报告，体现了开源社区在安全协作方面的重要作用。对于无法立即升级的环境，可以通过访问控制列表（ACL）限制EVAL和FUNCTION命令族的使用来阻止用户执行Lua脚本，从而达到临时缓解的目的。

技术细节

该漏洞的核心问题存在于Redis的Lua脚本执行引擎中。Redis通过嵌入的Lua解释器来执行用户提交的脚本，以实现原子性操作和复杂业务逻辑。然而，在脚本执行过程中，对内存边界检查存在缺陷，导致攻击者可以通过精心构造的Lua脚本触发越界内存访问。具体利用方式如下：攻击者首先需要拥有一个有效的Redis认证账户（低权限即可），然后通过EVAL或EVALSHA命令提交特制的Lua脚本。该脚本利用Redis Lua引擎中的内存管理缺陷，在处理字符串、表格或其他数据结构时绕过边界检查，从而实现以下两种攻击效果：（1）越界读取：读取Redis进程内存中超出预期范围的数据，可能泄露其他用户的键值数据、配置信息或其他敏感内容；（2）拒绝服务：通过触发未定义内存访问导致Redis进程崩溃（Segfault），使所有依赖Redis的服务不可用。由于攻击需要本地访问（AV:L）且复杂度较高（AC:H），实际利用门槛相对较高，但一旦成功，影响较为严重。该漏洞影响所有包含Lua脚本功能的Redis版本，修复版本8.2.2中增加了对Lua脚本执行时的内存边界检查，从根本上解决了越界访问问题。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者通过社会工程、凭证泄露或暴力破解等方式获取Redis服务器的合法认证账户。漏洞利用仅需要低权限账户，无需管理员权限。

STEP 2

步骤2：建立Redis连接

使用获取的认证凭据通过redis-cli或其他Redis客户端工具连接到目标Redis服务器，确保连接正常并具有EVAL或FUNCTION命令执行权限。

STEP 3

步骤3：构造恶意Lua脚本

精心编写利用Redis Lua引擎内存边界检查缺陷的Lua脚本，脚本中包含触发越界内存读取或导致进程崩溃的恶意代码逻辑。

STEP 4

步骤4：执行恶意脚本

通过EVAL命令提交恶意Lua脚本至Redis服务器执行，触发越界内存访问漏洞，可能导致敏感数据泄露或Redis进程崩溃。

STEP 5

步骤5：数据窃取或拒绝服务

根据攻击目的不同，攻击者可以读取Redis进程内存中的敏感数据（包括其他用户的键值数据），或者使Redis服务崩溃导致所有依赖业务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

-- CVE-2025-46819 Redis Lua Script Out-of-Bounds Read / DoS PoC
-- This PoC demonstrates the vulnerability by crafting a malicious Lua script
-- that triggers out-of-bounds memory access in Redis's Lua scripting engine.
-- Requirements: Valid Redis credentials with EVAL/FUNCTION permissions.

-- Step 1: Connect to Redis with authentication
-- redis-cli -h <target_host> -p 6379 -a <password>

-- Step 2: Execute the malicious Lua script via EVAL command
-- The script attempts to trigger out-of-bounds memory read by manipulating
-- string buffer operations within the Lua scripting context.

EVAL "
-- Attempt to trigger OOB read via crafted string operations
local malicious_str = string.rep('A', 8192)
local result = ''

-- Exploit boundary condition in Lua string handling
for i = 1, #malicious_str do
    -- Manipulate internal buffer pointers to cause out-of-bounds access
    local byte_val = string.byte(malicious_str, i)
    result = result .. string.char(byte_val)
end

-- Force memory access beyond allocated buffer
local oob_data = string.sub(malicious_str, 1, 99999999)

return #oob_data
" 0

-- Alternative: Use FUNCTION LOAD for persistent malicious script
-- FUNCTION LOAD "#!lua name=malign\nredis.call('EVAL', 'malicious_payload', 0)"

-- Impact:
-- 1. If successful, returns data from out-of-bounds memory regions
-- 2. May cause Redis server to crash (SIGSEGV), resulting in DoS
-- 3. Could leak sensitive data from other Redis keys or system memory

影响范围

Redis <= 8.2.1

防御指南

临时缓解措施

在无法立即升级Redis至8.2.2版本的情况下，可以通过配置ACL（访问控制列表）来阻止用户执行Lua脚本。具体操作为限制EVAL、EVALSHA和FUNCTION等命令族的使用权限，仅允许可信用户使用脚本功能。此外，建议将Redis服务部署在受保护的网络环境中，启用认证机制并使用强密码，同时通过防火墙规则限制可访问Redis的客户端IP范围，以降低被未授权用户利用的风险。