Redis heeft details bekendgemaakt van een beveiligingsfout van maximaal ernstige beveiliging in zijn in-memory databasesoftware die onder bepaalde omstandigheden zou kunnen leiden tot externe uitvoering van de externe code.
De kwetsbaarheid, gevolgd als CVE-2025-49844 (aka Redishell), heeft een CVSS -score van 10.0 gekregen.
“Een geverifieerde gebruiker kan een speciaal vervaardigd LUA-script gebruiken om de vuilnisverzamelaar te manipuleren, een gebruiksvrije gebruik te activeren en mogelijk te leiden tot externe code-uitvoering”, aldus een GitHub-advies voor de kwestie. “Het probleem bestaat in alle versies van Redis met Lua -scripting.”
Voor uitbuiting om succesvol te zijn, vereist het echter een aanvaller om eerst geverifieerde toegang tot een Redis -instantie te krijgen, waardoor het cruciaal is dat gebruikers hun Redis -instanties niet aan internet laten zien en ze met sterke authenticatie beveiligen.
Het probleem heeft invloed op alle versies van Redis. Het is aangepakt in versies 6.2.20, 7.2.11, 7.4.6, 8.0.4 en 8.2.2 vrijgegeven op 3 oktober 2025.
Als tijdelijke oplossingen totdat een patch kan worden toegepast, wordt het geadviseerd om te voorkomen dat gebruikers LUA -scripts uitvoeren door een toegangscontrolelijst (ACL) in te stellen om evalsha -opdrachten te beperken. Het is ook cruciaal dat alleen vertrouwde identiteiten Lua -scripts of andere potentieel risicovolle commando’s kunnen uitvoeren.
Cloud Security Company Wiz, dat op 16 mei 2025 de fout heeft ontdekt en gerapporteerd aan Redis, beschreef het als een Use-After-Free (UAF) geheugen corruptie-bug die al ongeveer 13 jaar in de Redis-broncode bestaat.
https://www.youtube.com/watch?v=yobt8irvao0
Het staat in wezen een aanvaller toe om een kwaadaardig Lua -script te verzenden dat leidt tot willekeurige code -uitvoering buiten de Redis Lua -tolk Sandbox, waardoor ze ongeoorloofde toegang tot de onderliggende host krijgen. In een hypothetisch aanvalsscenario kan het worden gebruikt om referenties te stelen, malware te laten vallen, gevoelige gegevens te exfiltreren of naar andere cloudservices te draaien.
“Met deze fout kan een post -auth -aanvaller een speciaal vervaardigd kwaadaardig lua -script sturen (een functie die standaard wordt ondersteund in Redis) om te ontsnappen uit de Lua Sandbox en willekeurige native code -uitvoering op de Redis -host te bereiken,” zei Wiz. “Dit verleent een aanvaller volledige toegang tot het hostsysteem, waardoor ze gevoelige gegevens kunnen exfiltreren, vegen of coderen, bronnen kapen en laterale beweging in cloudomgevingen vergemakkelijkt.”
Hoewel er geen bewijs is dat de kwetsbaarheid ooit in het wild is uitgebuit, zijn Redis -instanties een lucratief doelwit voor dreigingsacteurs die cryptojackingsaanvallen willen uitvoeren en in een botnet inschakelen. Op basis van schrijven zijn er ongeveer 330.000 Redis -instanties blootgesteld aan internet, waarvan ongeveer 60.000 van hen geen authenticatie missen.
“Met honderdduizenden blootgestelde gevallen wereldwijd vormt deze kwetsbaarheid een belangrijke bedreiging voor organisaties in alle industrieën,” zei Wiz. “De combinatie van wijdverbreide implementatie, standaard onzekere configuraties en de ernst van de kwetsbaarheid creëert een dringende behoefte aan onmiddellijke sanering.”
