漏洞风险提示（20251009）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Redis Lua脚本远程代码执行漏洞（CVE-2025-49844）
一、漏洞描述：
        
        Redis 是一个开源的、基于内存的数据库，它支持多种数据结构，如字符串、哈希表、列表、集合等。
        Redis的Lua脚本执行模块中，拥有低权限及以上用户权限的攻击者可通过构造特殊的Lua脚本，操控垃圾回收机制，触发释放后重用（Use-After-Free）漏洞，从而可能导致远程代码执行。
二、风险等级：
        高
三、影响范围：
        Redis 6.2.20 及以上版本，但低于 7.2.11。
        Redis 7.2.11 及以上版本，但低于 7.4.6。
        Redis 7.4.6 及以上版本，但低于 8.0.4。
        Redis 8.0.4 及以上版本，但低于 8.2.2。
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://redis.io/downloads/

---

2 VMware Tools for Windows访问控制错误漏洞（CVE-2025-41246）
一、漏洞描述：
        
        VMware Tools for Windows是美国VMware公司的一套基于Windows平台的、VMWare虚拟机自带的增强工具，它是VMware提供的用于增强虚拟显卡和硬盘性能、以及同步虚拟机与主机时钟的驱动程序。
        VMware Tools for Windows存在安全漏洞，该漏洞源于用户访问控制处理不当，已通过vCenter或ESX认证的攻击者可利用该漏洞访问其他客户虚拟机。
二、风险等级：
        高
三、影响范围：
        VMware VMware Tools for Windows
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.broadcom.com/web ... yAdvisories/0/36149

---

3 Microsoft Edge (Chromium-based) for Android欺骗漏洞（CVE-2025-47967）
一、漏洞描述：
        
        Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。
        Microsoft Edge (Chromium-based) for Android存在欺骗漏洞，该漏洞源于危险操作的用户界面警告不足，攻击者可利用该漏洞导致网络欺骗攻击。
二、风险等级：
        高
三、影响范围：
        Microsoft Edge (Chromium-based)
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.microsoft.com/zh-cn/edge/download?form=MA13FJ

---

4 Google Android代码执行漏洞（CVE-2025-48530）
一、漏洞描述：
        
        Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。
        Google Android存在代码执行漏洞，该漏洞是由于在多个位置进行了不正确的边界检查而导致的越界访问造成的。攻击者可利用该漏洞在系统上执行任意代码。
二、风险等级：
        高
三、影响范围：
        Google Android 16.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/security/bulletin/2025-08-01

---