В программном обеспечении для баз данных в памяти Redis была обнаружена уязвимость максимальной степени опасности (CVSS 10.0), получившая неофициальное название RediShell. Этот дефект, отслеживаемый под идентификатором CVE-2025-49844, присутствовал в исходном коде на протяжении 13 лет и затрагивает все версии продукта, поддерживающие скрипты Lua.
Технически уязвимость представляет собой ошибку повреждения памяти типа «использование после освобождения» (use-after-free). Аутентифицированный злоумышленник может выполнить удаленный код, используя специально созданный скрипт Lua. Этот скрипт позволяет манипулировать сборщиком мусора, что приводит к состоянию use-after-free, позволяя злоумышленнику выйти из песочницы интерпретатора Redis Lua и выполнить произвольный нативный код на хост-системе.
Последствия успешной эксплуатации критичны. Злоумышленник получает полный несанкционированный доступ к базовой хост-системе, что позволяет ему красть учетные данные, устанавливать вредоносное ПО, похищать, удалять или шифровать конфиденциальные данные. Кроме того, скомпрометированная система может быть использована для захвата ресурсов, например, в атаках криптоджекинга, или включена в состав ботнета.
Особую опасность уязвимость представляет для облачных сред. Получив контроль над сервером Redis, атакующий может использовать его как плацдарм для дальнейшего перемещения внутри облачной инфраструктуры и атак на другие связанные сервисы.
Ключевым условием для эксплуатации является наличие у злоумышленника аутентифицированного доступа к экземпляру Redis. Это подчеркивает критическую важность настройки надежной аутентификации и недопущения прямого доступа к серверам Redis из интернета.
Проблема была обнаружена специалистами по облачной безопасности из компании Wiz, которые сообщили о находке разработчикам Redis 16 мая 2025 года. На момент публикации информации свидетельств эксплуатации уязвимости в реальных атаках зафиксировано не было.
Несмотря на это, уровень риска чрезвычайно высок. По статистике, около 330 000 экземпляров Redis доступны из интернета. Из них примерно 60 000 не имеют вообще никакой аутентификации, что делает их основной мишенью для атак.
По оценке компании Wiz, данная уязвимость представляет «значительную угрозу для организаций во всех отраслях». Такой вывод основан на сочетании трех факторов: широкое распространение Redis, частые небезопасные конфигурации по умолчанию и максимальная степень серьезности самой уязвимости.
Для устранения проблемы 3 октября 2025 года были выпущены исправления. Обновлению подлежат все затронутые версии. Безопасными являются версии 6.2.20, 7.2.11, 7.4.6, 8.0.4 и 8.2.2.
В качестве временной меры, если немедленное обновление невозможно, рекомендуется заблокировать возможность выполнения скриптов Lua для пользователей. Это можно сделать путем настройки списка контроля доступа (ACL) для ограничения команд
Изображение носит иллюстративный характер
Технически уязвимость представляет собой ошибку повреждения памяти типа «использование после освобождения» (use-after-free). Аутентифицированный злоумышленник может выполнить удаленный код, используя специально созданный скрипт Lua. Этот скрипт позволяет манипулировать сборщиком мусора, что приводит к состоянию use-after-free, позволяя злоумышленнику выйти из песочницы интерпретатора Redis Lua и выполнить произвольный нативный код на хост-системе.
Последствия успешной эксплуатации критичны. Злоумышленник получает полный несанкционированный доступ к базовой хост-системе, что позволяет ему красть учетные данные, устанавливать вредоносное ПО, похищать, удалять или шифровать конфиденциальные данные. Кроме того, скомпрометированная система может быть использована для захвата ресурсов, например, в атаках криптоджекинга, или включена в состав ботнета.
Особую опасность уязвимость представляет для облачных сред. Получив контроль над сервером Redis, атакующий может использовать его как плацдарм для дальнейшего перемещения внутри облачной инфраструктуры и атак на другие связанные сервисы.
Ключевым условием для эксплуатации является наличие у злоумышленника аутентифицированного доступа к экземпляру Redis. Это подчеркивает критическую важность настройки надежной аутентификации и недопущения прямого доступа к серверам Redis из интернета.
Проблема была обнаружена специалистами по облачной безопасности из компании Wiz, которые сообщили о находке разработчикам Redis 16 мая 2025 года. На момент публикации информации свидетельств эксплуатации уязвимости в реальных атаках зафиксировано не было.
Несмотря на это, уровень риска чрезвычайно высок. По статистике, около 330 000 экземпляров Redis доступны из интернета. Из них примерно 60 000 не имеют вообще никакой аутентификации, что делает их основной мишенью для атак.
По оценке компании Wiz, данная уязвимость представляет «значительную угрозу для организаций во всех отраслях». Такой вывод основан на сочетании трех факторов: широкое распространение Redis, частые небезопасные конфигурации по умолчанию и максимальная степень серьезности самой уязвимости.
Для устранения проблемы 3 октября 2025 года были выпущены исправления. Обновлению подлежат все затронутые версии. Безопасными являются версии 6.2.20, 7.2.11, 7.4.6, 8.0.4 и 8.2.2.
В качестве временной меры, если немедленное обновление невозможно, рекомендуется заблокировать возможность выполнения скриптов Lua для пользователей. Это можно сделать путем настройки списка контроля доступа (ACL) для ограничения команд
EVAL и EVALSHA. Основная рекомендация по безопасности — разрешать выполнение скриптов и других потенциально опасных команд только доверенным субъектам.
