Redis ha revelado detalles de una falla de máxima seguridad en su software de base de datos en memoria que podría conducir a la ejecución remota de código en determinadas circunstancias.
A la vulnerabilidad rastreada como CVE-2025-49844 (también conocida como Redishell) se le ha asignado una puntuación CVSS de 10,0.
«Los usuarios autenticados pueden utilizar scripts LUA especialmente diseñados para manipular el recolector de basura, provocar desperdicio y potencialmente conducir a la ejecución remota de código», según el aviso de GitHub. «El problema existe en todas las versiones de Redis con scripts LUA».
Sin embargo, para que la explotación tenga éxito, el atacante primero debe obtener acceso autenticado a la instancia de Redis y es importante que el usuario no deje la instancia de Redis expuesta a Internet y la proteja con una autenticación sólida.
Este problema afecta a todas las versiones de Redis. Descrito en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2 lanzadas el 3 de octubre de 2025.
Como solución temporal hasta que se aplique un parche, recomendamos evitar que los usuarios ejecuten scripts LUA configurando una lista de control de acceso (ACL) para restringir los comandos Evals y Evalsha. También es importante que sólo las identidades confiables puedan ejecutar scripts LUA u otros comandos potencialmente peligrosos.
Wiz, una empresa de seguridad en la nube que descubrió e informó la falla en Redis el 16 de mayo de 2025, la describió como un error de corrupción de memoria lean (UAF) que había existido en el código fuente de Redis durante aproximadamente 13 años.
Básicamente, permite a un atacante enviar un script LUA malicioso que conduce a la ejecución de código arbitrario fuera del entorno limitado del intérprete Redis Lua, lo que permite el acceso no autorizado al host subyacente. En escenarios de ataque hipotéticos, se puede aprovechar para robar credenciales, eliminar malware, eliminar datos confidenciales o pasar a otros servicios en la nube.
«Esta falla permite a los atacantes de Post Auth escapar del entorno limitado de LUA con scripts LUA maliciosos especialmente diseñados (una característica admitida de forma predeterminada en Redis) y lograr la ejecución de código nativo arbitrario en los hosts de Redis», dijo Wiz. «Esto permite a los atacantes otorgar acceso completo a los sistemas host, eliminar, borrar o cifrar datos confidenciales, secuestrar recursos y facilitar el movimiento lateral dentro de entornos de nube».
Aunque no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, las instancias de Redis son un objetivo lucrativo para los actores de amenazas que buscan realizar ataques de criptojacking y unirse a botnets. En el momento de escribir este artículo, hay aproximadamente 330.000 instancias de Redis expuestas a Internet, de las cuales aproximadamente 60.000 carecen de autenticación.
«Con cientos de miles de casos expuestos en todo el mundo, esta vulnerabilidad representa una amenaza significativa para las organizaciones de todas las industrias», dijo Wiz. «La combinación de implementación generalizada, configuraciones predeterminadas inestables y gravedad de las vulnerabilidades crea una necesidad urgente de remediación inmediata».
Source link
