Krytyczna podatność w środowisku Redis
CSIRT CeZ ostrzega: krytyczna podatność w środowisku Redis (CVE-2025-49844), związaną z komponentem Lua scripting. Luka umożliwia zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Wynika to z błędnego zarządzania pamięcią. Podatność może prowadzić do pełnego przejęcia systemu.
Charakterystyka podatności
- Oznaczenie: CVE-2025-49844
- Score CVSS: 9.9 (Critical) (według autora oprogramowania nawet 10.0)
Podatne systemy
- Redis z włączoną obsługą skryptów Lua w wersjach do 8.2.1 (włącznie)
Redis to popularna baza danych, która działa bardzo szybko, bo przechowuje dane w pamięci. W starszych wersjach (do 8.2.1) odkryto poważny błąd, który pozwala zalogowanemu użytkownikowi uruchomić złośliwy kod na serwerze. Dzieje się tak przez specjalnie przygotowany skrypt Lua, który wykorzystuje sposób, w jaki Redis zarządza pamięcią. To może prowadzić do przejęcia kontroli nad systemem.
Działania zapobiegawcze
Zalecamy niezwłoczne wdrożenie następujących działań:
- aktualizacja Redis do wersji 8.2.2 lub nowszej, zgodnej z zaleceniami producenta
- ograniczenie dostępu sieciowego (firewall, polityki sieciowe)
- wymuszenie uwierzytelnienia (np. requirepass, ACL)
- wyłączenie Lua dla nieautoryzowanych użytkowników (blokada EVAL, EVALSHA)
- monitorowanie aktywności Redis na poziomie sieci i hosta