境外势力入侵校园网络广播！详情披露→

2025年7月7日，国家安全部微信公众号披露，一境外组织长期运用网络对我境内多个校园网络广播开展大面积、高频次、不间断的网络攻击，企图远程操控、传播有害言论。某学校因网络广播系统搭载在公开网页上且登录密码简单，给了敌人可乘之机，经过一场无声较量，此次攻击被阻断。

“系统告警！境外某不明IP正伪装成普通用户登录我辖区某中学的网络广播系统，企图入侵攻击并篡改播报内容。”

攻击者是谁？他们是如何突破防护网入侵的？国家安全机关立即对该中学互联网平台及网络广播系统全面缜密分析检查。

分析发现，对手利用境外网络为跳板，以海量数据为掩护躲避追踪，与之前发现的某境外反华敌对组织手法十分相似。该组织长期运用网络对我境内多个校园网络广播开展大面积、高频次、不间断的网络攻击，企图破解校园网页及内设广播系统的口令密码，远程操控校园广播、传播有害言论。

此次遭到攻击的学校，因网络广播系统直接搭载在校园公开网页上，登录密码简单设置为一串相连的数字，给了敌人可乘之机。国家安全机关当即指导该学校的相关管理部门进行整改，从源头切断境外入侵渠道，及时消除了危害。

国家安全机关提醒，网络广播系统一旦被境外反华敌对势力渗透、攻击，传播有害信息，将极大破坏我网络安全环境。保证网络广播系统的安全应用，确保网络空间的清朗安宁，需要全民共筑反间防谍钢铁长城。

Redis被曝三大严重安全漏洞，PoC代码已公开

Redis是一个高性能、灵活且易于扩展的键值存储数据库，适用于各种应用场景，可作为缓存、数据库和消息中间件等，具有出色的性能和稳定性。但近日，Redis数据库被曝存在三大严重安全漏洞。

Part01

漏洞概述

Redis数据库被曝存在严重安全漏洞，攻击者可利用该漏洞实现远程代码执行（RCE）。目前相关概念验证（PoC）代码已在安全社区流传。漏洞涉及HyperLogLog（HLL）数据结构实现问题，编号为CVE-2024-51741和CVE-2024-46981。
此外，Redis近日发布安全公告还披露一个拒绝服务漏洞（编号CVE-2025-48367，CVSSv4评分7.0）。该漏洞源于认证用户对Redis多批量协议命令的滥用，可能影响服务可用性。

Part02

CVE-2024-51741

Redis 存在编号为 CVE-2024-51741 的漏洞，该漏洞于2024年10月31日被分配CVE编号，影响版本为Redis至7.2.6、7.4.1。此漏洞被归类为有问题（棘手），对应CWE-404，即产品在资源可供重新使用之前未释放资源或错误释放资源。

该漏洞作用于ACL Selector Handler组件（其具体功能及涉及的处理逻辑未知），危害在于：经身份验证且具备足够权限的攻击者，可通过提供未知输入创建格式错误的ACL选择器，当访问该选择器时会触发服务器panic，最终导致拒绝服务，影响系统可用性。

在利用方面，此漏洞需通过本地攻击实施，且需要较高权限的成功身份验证。尽管目前技术细节和漏洞利用方式未公开，但被认为容易利用。漏洞扫描程序Nessus提供了ID为213612（对应插件：Fedora 41：valkey（2025-b332afed45））的插件，可辅助检测目标环境是否存在该漏洞。

修复该漏洞的建议是将Redis升级至7.2.7或7.4.2版本，以此消除漏洞带来的风险。

Part03

CVE-2024-46981

Redis存在一个代码执行漏洞（CVE-2024-46981），CVSS评分为7.0。该漏洞源于Redis的Lua脚本引擎在内存管理方面的问题，经过身份验证的用户可借助特制Lua脚本操纵内存回收机制，通过EVAL和EVALSHA命令运行恶意脚本，进而可能在Redis服务器上执行任意代码。

此漏洞影响Redis < 7.4.2、Redis < 7.2.7、Redis < 6.2.17版本，且若Redis配置未通过ACL限制EVAL和EVALSHA命令以限制Lua脚本执行，使用Lua脚本的Redis会受影响。

目前该漏洞已修复，受影响用户可升级至Redis >= 7.4.2、Redis >= 7.2.7或Redis >= 6.2.17版本。

Part03

CVE-2025-48367

2025年7月7日，内存数据库Redis发布安全公告，披露了一个拒绝服务（DoS）漏洞（编号CVE-2025-48367，CVSSv4评分7.0）。

该漏洞由安全研究员Gabriele Digregorio通过负责任披露流程提交并经Redis开发团队确认，源于认证用户对Redis多批量协议命令的滥用，攻击者在完成认证后，可通过特殊构造的命令协议触发异常行为，导致服务中断，虽未突破Redis“认证用户应被信任”的核心安全假设，但可能影响服务可用性。

公告指出，此问题源于对Redis内置命令网络协议的滥用，需攻击者完成身份认证，未违反Redis安全模型。Redis团队因顾虑代码修复可能影响正常功能或降低性能，暂不计划发布修复补丁，仅为8.0.3、7.4.5、7.2.10、6.2.19这四个活跃版本分支发布包含常规稳定性改进及可能缓解措施的更新。

针对该漏洞，Redis建议从强化访问控制入手防护，包括实施强认证机制、避免Redis实例暴露于不可信网络，将Redis访问与企业身份提供商集成以增强控制，以及参照Redis安全最佳实践加固部署环境，防范认证滥用风险。

文章来源 ：安全学习那些事儿、freebuf

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍