- Published on
Falha Crítica no Redis Permite Execução Remota de Código
- Authors
- Name
- Bot
Falha Crítica de 13 Anos no Redis Permite Execução Remota de Código
Redis divulgou uma vulnerabilidade de segurança de gravidade máxima em seu software de banco de dados em memória que pode resultar em execução remota de código sob determinadas circunstâncias.
A vulnerabilidade, rastreada como CVE-2025-49844 (apelidada de RediShell), recebeu pontuação CVSS 10.0 - o nível máximo de criticidade.
Detalhes Técnicos
- Tipo: Use-after-free (UAF) na coleta de lixo
- Impacto: Execução remota de código fora do sandbox do interpretador Lua
- Requisito: Acesso autenticado à instância Redis
- Versões Afetadas: Todas as versões do Redis com script Lua
Exploração
Um usuário autenticado pode usar um script Lua especialmente criado para manipular o coletor de lixo, acionar use-after-free e potencialmente executar código remotamente no sistema host.
Mitigação
Versões Corrigidas:
- 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2 (lançadas em 3 de outubro de 2025)
Workarounds Temporários:
- Configurar ACL para restringir comandos EVAL e EVALSHA
- Permitir execução de scripts Lua apenas para identidades confiáveis
- Não expor instâncias Redis à internet
- Implementar autenticação forte
Contexto de Ameaça
- Descoberta pela Wiz em 16 de maio de 2025
- Existente no código por aproximadamente 13 anos
- ~330.000 instâncias Redis expostas à internet
- ~60.000 sem autenticação
- Sem evidências de exploração na natureza
A combinação de implantação generalizada, configurações inseguras padrão e gravidade da vulnerabilidade cria necessidade urgente de correção imediata.