Redis tiene divulgado detalles de una falla de seguridad de máxima gravedad en su software de base de datos en memoria que podría provocar la ejecución remota de código en determinadas circunstancias.
La vulnerabilidad, rastreada como CVE-2025-49844 (también conocido como RediShell), se le ha asignado una puntuación CVSS de 10,0.
«Un usuario autenticado puede utilizar un script de Lua especialmente diseñado para manipular el recolector de basura, activar un modo de uso posterior y, potencialmente, provocar la ejecución remota de código», según un Asesoramiento de GitHub para el tema. «El problema existe en todas las versiones de Redis con scripts de Lua».
Sin embargo, para que la explotación tenga éxito, es necesario que el atacante primero obtenga acceso autenticado a una instancia de Redis, por lo que es crucial que los usuarios no dejen sus instancias de Redis expuestas a Internet y las protejan con una autenticación sólida.
El problema afecta a todas las versiones de Redis. Este problema se solucionó en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2, publicadas el 3 de octubre de 2025.
Como soluciones temporales hasta que se pueda aplicar un parche, se recomienda evitar que los usuarios ejecuten scripts de Lua configurando una lista de control de acceso (ACL) para restringir los comandos EVAL y EVALSHA. También es fundamental que solo las identidades confiables puedan ejecutar scripts de Lua o cualquier otro comando que pueda resultar peligroso.
La empresa de seguridad en la nube Wiz, que descubrió y denunció la falla a Redis el 16 de mayo de 2025, la describió como un error de corrupción de memoria de uso posterior (UAF) que existe en el código fuente de Redis desde hace unos 13 años.
Básicamente, permite a un atacante enviar un script Lua malintencionado que conduce a la ejecución de código arbitrario fuera del entorno limitado del intérprete de Redis Lua, lo que le otorga acceso no autorizado al host subyacente. En un escenario hipotético de ataque, se puede aprovechar para robar credenciales, eliminar malware, filtrar datos confidenciales o pasarlos a otros servicios en la nube.
«Esta falla permite a un atacante posterior a la autenticación enviar un script Lua malintencionado especialmente diseñado (una función compatible de forma predeterminada en Redis) para escapar del entorno limitado de Lua y lograr la ejecución arbitraria de código nativo en el host de Redis», dijo Wiz dijo . «Esto otorga al atacante un acceso total al sistema anfitrión, lo que le permite filtrar, borrar o cifrar datos confidenciales, secuestrar recursos y facilitar el movimiento lateral dentro de los entornos de nube».
Si bien no hay evidencia de que la vulnerabilidad se haya explotado alguna vez en la naturaleza, las instancias de Redis son objetivo lucrativo por actores de amenazas buscando conducir criptojacking ataca y los recluta en una botnet. En el momento de escribir este artículo, hay alrededor de 330 000 instancias de Redis expuestas a Internet, de las cuales unas 60 000 carecen de autenticación.
«Con cientos de miles de instancias expuestas en todo el mundo, esta vulnerabilidad representa una amenaza importante para las organizaciones de todos los sectores», dijo Wiz. «La combinación de un despliegue generalizado, las configuraciones inseguras predeterminadas y la gravedad de la vulnerabilidad crean una necesidad urgente de remediarla de inmediato».