Redis tiene revelado detalles de una falla de seguridad de máxima gravedad en su software de base de datos en memoria que podría resultar en la ejecución remota de código bajo ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-49844 (también conocido como RediShell), se le ha asignado una puntuación CVSS de 10,0.
«Un usuario autenticado puede utilizar un script Lua especialmente diseñado para manipular el recolector de basura, activar un uso después de la liberación y potencialmente conducir a la ejecución remota de código», según un Aviso de GitHub para el tema. «El problema existe en todas las versiones de Redis con secuencias de comandos Lua».
Sin embargo, para que la explotación tenga éxito, es necesario que un atacante primero obtenga acceso autenticado a una instancia de Redis, lo que hace crucial que los usuarios no dejen sus instancias de Redis expuestas a Internet y las protejan con una autenticación sólida.
El problema afecta a todas las versiones de Redis. Se solucionó en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2 lanzadas el 3 de octubre de 2025.
Como solución temporal hasta que se pueda aplicar un parche, se recomienda evitar que los usuarios ejecuten scripts Lua configurando una lista de control de acceso (ACL) para restringir los comandos EVAL y EVALSHA. También es crucial que sólo las identidades confiables puedan ejecutar scripts Lua o cualquier otro comando potencialmente riesgoso.
La empresa de seguridad en la nube Wiz, que descubrió e informó la falla a Redis el 16 de mayo de 2025, la describió como un error de corrupción de memoria de uso después de la liberación (UAF) que ha existido en el código fuente de Redis durante aproximadamente 13 años.
Básicamente, permite a un atacante enviar un script Lua malicioso que conduce a la ejecución de código arbitrario fuera del entorno limitado del intérprete Redis Lua, otorgándole acceso no autorizado al host subyacente. En un escenario de ataque hipotético, se puede aprovechar para robar credenciales, eliminar malware, filtrar datos confidenciales o pasar a otros servicios en la nube.
«Esta falla permite a un atacante posterior a la autenticación enviar un script Lua malicioso especialmente diseñado (una característica admitida de forma predeterminada en Redis) para escapar del entorno limitado de Lua y lograr la ejecución de código nativo arbitrario en el host de Redis», Wiz dicho. «Esto otorga al atacante acceso completo al sistema host, lo que le permite filtrar, borrar o cifrar datos confidenciales, secuestrar recursos y facilitar el movimiento lateral dentro de entornos de nube».
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada alguna vez en la naturaleza, las instancias de Redis son una objetivo lucrativo para actores de amenaza mirando a conducta criptojacking ataques y enlistarlos en una botnet. Al momento de escribir este artículo, hay alrededor de 330.000 instancias de Redis expuestas a Internet, de las cuales alrededor de 60.000 carecen de autenticación.
«Con cientos de miles de casos expuestos en todo el mundo, esta vulnerabilidad representa una amenaza significativa para las organizaciones de todas las industrias», afirmó Wiz. «La combinación de implementación generalizada, configuraciones inseguras predeterminadas y la gravedad de la vulnerabilidad crea una necesidad urgente de remediación inmediata».
Fuente