Исследователи кибербезопасности обнаружили критическую уязвимость в сервере Redis, которая позволяет аутентифицированным злоумышленникам выполнять произвольный код через уязвимость типа use-after-free (использование после освобождения) в механизме скриптов Lua. Уязвимость, получившая идентификатор CVE-2025-49844, затрагивает все версии Redis с поддержкой функциональности Lua-скриптов и имеет максимально возможную оценку опасности по шкале CVSS 3.1 - 10.0 баллов.
Детали уязвимости
Специалисты компании Wiz Бенни Исаакс, Нир Браха и Саги Цадик в сотрудничестве с программой Zero Day Initiative от Trend Micro идентифицировали серьезную проблему безопасности, эксплуатирующую механизм сборки мусора в Redis. Уязвимость возникает из-за неправильного управления памятью в реализации Lua-скриптов Redis, где ссылки на память могут сохраняться после того, как сборщик мусора освободил базовые структуры памяти. Это создает опасное условие, при котором злоумышленники могут потенциально контролировать освобожденные области памяти и выполнять произвольный код с привилегиями процесса сервера Redis.
Особую озабоченность вызывает низкая сложность эксплуатации данной уязвимости, что означает относительную простоту создания работающих эксплойтов после того, как детали уязвимости станут широко известны. Аутентифицированные злоумышленники могут использовать эту уязвимость удаленно через сетевые соединения без необходимости дополнительного взаимодействия с пользователем или повышенных привилегий на целевой системе. Рейтинг измененной области воздействия указывает на то, что успешная эксплуатация может затронуть ресурсы за пределами самого сервера Redis, потенциально воздействуя на другие системы или данные в пределах той же границы безопасности.
Для организаций, использующих развертывания Redis, особенно тех, которые разрешают аутентифицированным пользователям выполнять Lua-скрипты, эта уязвимость представляет значительные риски. Возможность выполнения удаленного кода открывает путь к полному компрометации сервера, что может привести к утечке конфиденциальных данных, установке вредоносного программного обеспечения или созданию плацдарма для дальнейших атак в корпоративной сети.
Хотя исправления для данной уязвимости все еще находятся в разработке и их выпуск запланирован на будущее, администраторы Redis могут реализовать незамедлительные защитные меры. Основной временный способ защиты заключается в использовании списков контроля доступа для ограничения команд EVAL и EVALSHA, что эффективно предотвращает возможность выполнения пользователями Lua-скриптов вообще. Данная стратегия смягчения угроз полностью устраняет вектор атаки, сохраняя при этом другую функциональность Redis.
Организациям рекомендуется провести аудит своих конфигураций Redis для выявления экземпляров, где включено выполнение Lua-скриптов, и оценить, является ли эта функциональность действительно необходимой для их операционной деятельности. Тем, кто может отключить выполнение Lua-скриптов без критического воздействия на бизнес-процессы, следует немедленно реализовать ограничения через ACL в качестве временной меры безопасности. Администраторам также следует рассмотреть возможность изоляции серверов Redis в отдельных сетевых сегментах и усилить мониторинг подозрительной активности, связанной с выполнением скриптов.
Обнаружение CVE-2025-49844 в очередной раз подчеркивает важность принципа минимальных привилегий при настройке сервисов баз данных и необходимость регулярного пересмотра конфигураций безопасности даже в проверенных временем программных решениях. По мере развития ситуации и появления дополнительной технической информации о уязвимости, организациям следует оставаться в курсе обновлений от разработчиков Redis и своевременно применять официальные исправления после их выпуска.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-49844
- https://nvd.nist.gov/vuln/detail/CVE-2025-49844
- https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q
- https://github.com/redis/redis/commit/d5728cb5795c966c5b5b1e0f0ac576a7e69af539
- https://github.com/redis/redis/releases/tag/8.2.2
