Redis ha revelado detalles de una falla de seguridad de severidad máxima en su software de base de datos en memoria que podría dar lugar a la ejecución de código remoto en ciertas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-49844 (también conocido como Redishell), se le ha asignado un puntaje CVSS de 10.0.
«Un usuario autenticado puede usar un script de Lua especialmente elaborado para manipular el recolector de basura, activar un uso libre de uso y potencialmente conducir a la ejecución de código remoto», según un aviso de GitHub para el problema. «El problema existe en todas las versiones de Redis con Lua Scripting».
Sin embargo, para que la explotación sea exitosa, requiere que un atacante obtenga primero el acceso autenticado a una instancia de Redis, por lo que es crucial que los usuarios no dejen sus instancias redis expuestas a Internet y las aseguren con una fuerte autenticación.
El problema afecta todas las versiones de Redis. Se ha abordado en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2 lanzados el 3 de octubre de 2025.
Como soluciones temporales hasta que se pueda aplicar un parche, se recomienda evitar que los usuarios ejecuten scripts de LUA estableciendo una lista de control de acceso (ACL) para restringir los comandos Eval y EvalSha. También es crucial que solo las identidades de confianza puedan ejecutar scripts Lua o cualquier otro comando potencialmente arriesgado.
La compañía de seguridad en la nube Wiz, que descubrió e informó el defecto de Redis el 16 de mayo de 2025, lo describió como un error de corrupción de memoria sin uso (UAF) que ha existido en el código fuente de Redis durante aproximadamente 13 años.
https://www.youtube.com/watch?v=yobt8irvao0
Esencialmente permite que un atacante envíe un script malicioso de lua que conduce a la ejecución de código arbitraria fuera del intérprete Redis Lua Sandbox, otorgándoles acceso no autorizado al host subyacente. En un escenario de ataque hipotético, se puede aprovechar para robar credenciales, soltar malware, exfiltrado datos confidenciales o pivotar a otros servicios en la nube.
«Este defecto permite que un atacante de autores envíe un script de Lua malicioso especialmente elaborado (una característica compatible de forma predeterminada en Redis) para escapar del Lua Sandbox y lograr la ejecución arbitraria de código nativo en el host Redis», dijo Wiz. «Esto otorga a un atacante acceso completo al sistema de host, lo que les permite exfiltrarse, limpiar o cifrar datos confidenciales, secuestrar recursos y facilitar el movimiento lateral dentro de los entornos de la nube».
Si bien no hay evidencia de que la vulnerabilidad haya sido explotada en la naturaleza, las instancias de Redis son un objetivo lucrativo para los actores de amenaza que buscan realizar ataques criptojacking y recluirlos en una botnet. Al escribir, hay alrededor de 330,000 instancias de Redis expuestas a Internet, de las cuales unos 60,000 de ellos carecen de autenticación.
«Con cientos de miles de instancias expuestas en todo el mundo, esta vulnerabilidad plantea una amenaza significativa para las organizaciones en todas las industrias», dijo Wiz. «La combinación de implementación generalizada, configuraciones inseguras predeterminadas y la gravedad de la vulnerabilidad crea una necesidad urgente de remediación inmediata».