Kritisk sårbarhed i Redis Lua-scripting

Der er fundet en kritisk sårbarhed i Redis, der gør det muligt for en autentificeret bruger at udføre Remote Code Execution (RCE) via et specialdesignet Lua-script.  

Det skriver Bleeping Computer.

Redis har identificeret en kritisk sårbarhed i sin Lua-scripting-funktionalitet, som er aktiveret som standard. Sårbarheden har id'et EUVD-2025-32326 / CVE-2025-49844, har fået en CVSS-score på 10.0. EPSS-scoren er pt. sat til 0,08.

Sårbarheden skyldes en 13 år gammel "use-after-free" fejl i Redis’ kildekode. En autentificeret bruger kan udnytte fejlen ved at indsende et specialdesignet Lua-script, som manipulerer garbage collectoren og bryder ud af Lua-sandboxen. Dette kan føre til udførelse af vilkårlig kode på Redis-hosten og åbne for en omvendt shell, som giver angriberen fuld adgang til systemet.

Efter kompromittering kan en angriber aflure legitimationsoplysninger, installere malware, udtrække følsomme data og/eller bevæge sig lateralt i netværket

De berørte versioner er alle Redis-versioner før 8.2.2.

Der er ingen rapporter om aktiv udnyttelse i øjeblikket, men sårbarheden er offentliggjort og kan potentielt blive udnyttet i fremtiden.

Det anbefales, at man opdater Redis til version 8.2.2 eller nyere. Hvis opdatering ikke er mulig, kan man følge Redis’ anbefalede workarounds. Derudover kan man begrænse adgangen til Redis-instanser via netværkskontroller og overvåget logs for mistænkelig Lua-aktivitet