简介 

    2025年10月初，网络安全领域面临一项重大威胁——Redis的Lua脚本引擎中存在严重的释放后重用漏洞RediShell被公开披露。该高危漏洞影响全球超过8500个Redis实例，攻击者可利用此漏洞实现远程代码执行，直接威胁数据安全与服务稳定性。

核心详情 

    RediShell漏洞本质是Redis在处理Lua脚本时出现的释放后重用(UAF)内存错误。当攻击者发送特制的Lua脚本命令时，可触发已释放内存的非法重用，进而破坏内存结构并执行任意代码。技术分析表明，漏洞源于Lua引擎对象生命周期管理缺陷，在特定序列操作下导致对象被提前释放而指针未清零。安全研究人员通过批量网络扫描确认了8500余个暴露在公网的受影响实例，主要分布在云服务与企业自建环境中。攻击成功后可完全控制Redis服务器，窃取敏感数据或部署持久化后门。

适用范围  

    适用于使用Redis 4.0至7.0版本的运维人员、云平台管理员及网络安全团队，特别针对将Redis实例部署在公网或内网关键业务系统中的场景。涉及电商会话存储、缓存数据库、消息队列等Redis应用环境均需重点关注。

推荐措施 

    1、立即升级Redis至官方已修复的安全版本，并通过配置bind指令限制访问源IP；

    2、部署网络防火墙规则阻断非必要端口访问，定期审计Lua脚本执行日志，参考Redis安全加固指南实施最小权限原则。