Výzkumníci ze společnosti Wiz identifikovali zranitelnost (CVE-2025-49844) v systému správy databází (DBMS) Redis, která umožňuje vzdálené spuštění kódu (RCE) na serveru. Problému byla přiřazena nejvyšší úroveň závažnosti (skóre CVSS 10 z 10). Aby útočník mohl tuto zranitelnost zneužít, musí být schopen odesílat dotazy do systému správy databází Redis, které umožňují spouštění vlastních Lua skriptů.
Kromě veřejně dostupných instancí Redisu, které poskytují neověřený přístup, tato zranitelnost umožňuje kompromitaci cloudových systémů a hostingových platforem podporujících služby Redis. Podle Wizu síťová kontrola odhalila přibližně 330 000 serverů Redis, které přijímají připojení, z nichž přibližně 60 000 přijímá požadavky bez ověřování. Oficiální obraz kontejneru Dockeru poskytnutý projektem Redis je ve výchozím nastavení nakonfigurován pro neověřený přístup.
Zranitelnost je způsobena chybou „use-after-free“, ke které dochází při manipulaci s garbage collectorem ze speciálně vytvořeného Lua skriptu. Tato chyba umožňuje Redisu obejít izolaci sandboxu prostředí Lua a spustit kód na hostitelském systému s oprávněními uživatele, pod kterým databáze běží. Je pozoruhodné, že chyba zůstala 13 let neodhalena. Výzkumníci, kteří chybu objevili, prokázali funkční exploit, ale podrobnosti o exploitu zatím nebyly zveřejněny, aby bylo možné nainstalovat opravy.
Zranitelnost se objevuje i v projektu Valkey, který vyvíjí fork Redisu, jenž je součástí většiny distribucí. Linux, včetně RedHat Enterprise Linux 10. Zranitelnost je opravena v Redisu 8.2.2, 8.0.4, 7.4.6, 7.2.11 a 6.2.20, stejně jako ve Valkey 8.1.4, 8.0.6 a 7.2.11. Stav nové verze balíčku nebo přípravu opravy v distribucích můžete zkontrolovat na následujících stránkách: Debian, Ubuntu, Fedora, SUSE/openSUSE, RHEL, Gentoo, Arch, FreeBSD, OpenBSD a NetBSD. Jako alternativní řešení můžete zakázat spouštění Lua skriptů v DBMS zakázáním příkazů EVAL a EVALSHA prostřednictvím ACL.
Dále stojí za zmínku tři další zranitelnosti zneužívané prostřednictvím Lua skriptů, které byly opraveny v nejnovějších verzích Redis a Valkey. Pro obejití těchto zranitelností lze rodiny příkazů EVAL a FUNCTION zakázat pomocí ACL.
- CVE-2025-46817 - Přetečení celého čísla ve funkcích knihovny Lua potenciálně umožňuje spuštění libovolného kódu. server při spouštění speciálně navržených Lua skriptů.
- CVE-2025-46819 je chyba, která způsobuje čtení dat mimo povolený rozsah při spuštění speciálně vytvořeného Lua skriptu. Tuto zranitelnost lze zneužít k selhání procesu Redis serveru.
- CVE-2025-46818 — Možnost spouštět příkazy v kontextu jiného uživatele DBMS při manipulaci s objekty LUA ze speciálně vytvořeného Lua skriptu.
Zdroj: opennet.ru
