Redis ha revelado detalles de una descompostura de seguridad de severidad máxima en su software de saco de datos en memoria que podría dar extensión a la ejecución de código remoto en ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-49844 (igualmente conocido como Redishell), se le ha asignado un puntaje CVSS de 10.0.
«Un afortunado autenticado puede usar un script de Lua especialmente minucioso para manipular el recolector de basura, activar un uso disponible de uso y potencialmente conducir a la ejecución de código remoto», según un aviso de GitHub para el problema. «El problema existe en todas las versiones de Redis con Lua Scripting».
Sin requisa, para que la explotación sea exitosa, requiere que un atacante obtenga primero el acercamiento autenticado a una instancia de Redis, por lo que es crucial que los usuarios no dejen sus instancias redis expuestas a Internet y las aseguren con una resistente autenticación.
El problema afecta todas las versiones de Redis. Se ha abordado en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2 lanzados el 3 de octubre de 2025.
Como soluciones temporales hasta que se pueda aplicar un parche, se recomienda evitar que los usuarios ejecuten scripts de LUA estableciendo una registro de control de acercamiento (ACL) para restringir los comandos Eval y EvalSha. Todavía es crucial que solo las identidades de confianza puedan ejecutar scripts Lua o cualquier otro comando potencialmente arriesgado.
La compañía de seguridad en la nimbo Wiz, que descubrió e informó el defecto de Redis el 16 de mayo de 2025, lo describió como un error de corrupción de memoria sin uso (UAF) que ha existido en el código fuente de Redis durante aproximadamente 13 primaveras.
https://www.youtube.com/watch?v=yobt8irvao0
Esencialmente permite que un atacante envíe un script astuto de lua que conduce a la ejecución de código arbitraria fuera del intérprete Redis Lua Sandbox, otorgándoles acercamiento no calificado al host subyacente. En un atmósfera de ataque hipotético, se puede exprimir para robar credenciales, soltar malware, exfiltrado datos confidenciales o pivotar a otros servicios en la nimbo.
«Este defecto permite que un atacante de autores envíe un script de Lua astuto especialmente minucioso (una característica compatible de forma predeterminada en Redis) para escapar del Lua Sandbox y conquistar la ejecución arbitraria de código nativo en el host Redis», dijo Wiz. «Esto otorga a un atacante acercamiento completo al sistema de host, lo que les permite exfiltrarse, acicalar o transcribir datos confidenciales, secuestrar fortuna y favorecer el movimiento adyacente en el interior de los entornos de la nimbo».
Si perfectamente no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, las instancias de Redis son un objetivo rentable para los actores de amenaza que buscan realizar ataques criptojacking y recluirlos en una botnet. Al escribir, hay cerca de de 330,000 instancias de Redis expuestas a Internet, de las cuales unos 60,000 de ellos carecen de autenticación.
«Con cientos de miles de instancias expuestas en todo el mundo, esta vulnerabilidad plantea una amenaza significativa para las organizaciones en todas las industrias», dijo Wiz. «La combinación de implementación generalizada, configuraciones inseguras predeterminadas y la agravación de la vulnerabilidad crea una menester urgente de remediación inmediata».
