Kritická zraniteľnosť v Redis umožňuje vzdialené vykonanie kódu

Vývojári in-memory NoSQL úložiska Redis vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2025-49844 by vzdialený autentifikovaný útočník mohol zneužiť na vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Redis Software, vo všetkých verziách
• Redis OSS/CE/Stack with Lua scripting, vo všetkých verziách

Opis zraniteľnosti:

CVE-2025-49844 (CVSSv3.1 skóre 9,9)

Kritická zraniteľnosť s identifikátorom CVE-2025-49844 (alias RediShell) sa nachádza v rámci interpretera Lua a spočíva v použití odalokovaného miesta v pamäti. Vzdialený autentifikovaný útočník by ju prostredníctvom špeciálne vytvorených skriptov Lua mohol zneužiť na únik z Lua sandboxu, vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom. Zraniteľnosť odhalili bezpečnostní výskumníci z WIZ na hackerskej súťaži Pwn2Own v Berlíne.

Zraniteľnosť možno zneužiť len na inštanciách, na ktorých je povolené vykonávanie skriptov Lua. Skripty Lua sú v predvolenej konfigurácii zapnuté. Z dôvodu nesprávnej konfigurácie je veľké množstvo inštancií dostupných z internetu prevádzkovaných bez autentifikácie, čo ich vystavuje priamemu riziku zneužitia tejto zraniteľnosti.

Možné škody:

• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu

• Redis Software na verzie 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 alebo novšie
• Redis OSS/CE so skriptovaním Lua na verzie 8.2.2, 8.0.4, 7.4.6, 7.2.11. alebo novšie
• Redis Stack so skriptovaním Lua na verzie 7.4.0-v7, 7.2.0-v19 alebo novšie

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno mitigovať zavedením ACL (Access Control List) zakazujúceho vykonanie príkazov EVAL a EVALSHA.

Rovnako odporúčame na inštanciách vyžadovať autentifikáciu a neprevádzkovať ich voľne prístupné z internetu. Ak systémy musia byť prístupné, použite VPN alebo prostredníctvom sieťových a bezpečnostných prvkov limitujte prístup len na dôveryhodné siete.  

Zdroje:

• https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q
• https://nvd.nist.gov/vuln/detail/CVE-2025-49844
• https://redis.io/blog/security-advisory-cve-2025-49844/
• https://www.wiz.io/blog/wiz-research-redis-rce-cve-2025-49844
• https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/