Redis ha revelado una vulnerabilidad de máxima gravedad en su software de base de datos en memoria que podría permitir la ejecución remota de código en determinadas condiciones. El fallo, identificado como CVE-2025-49844 y apodado RediShell, cuenta con una puntuación CVSS de 10.0, el valor más alto en la escala de severidad.
De acuerdo con el aviso oficial publicado en GitHub, el problema reside en la función de scripting Lua incorporada en Redis. Un usuario autenticado podría aprovechar un script Lua especialmente diseñado para manipular el recolector de basura, provocar una condición de use-after-free y, potencialmente, ejecutar código arbitrario en el sistema afectado. La vulnerabilidad afecta todas las versiones de Redis que incluyen soporte para scripting Lua.
No obstante, para que la explotación sea factible, el atacante debe contar previamente con acceso autenticado al servicio Redis. Por ello, se enfatiza la importancia de no exponer instancias de Redis directamente a Internet y de implementar mecanismos de autenticación robustos.
El fallo ha sido corregido en las versiones 6.2.20, 7.2.11, 7.4.6, 8.0.4 y 8.2.2, publicadas el 3 de octubre de 2025. Mientras los administradores aplican las actualizaciones, se recomienda restringir el uso de los comandos EVAL y EVALSHA mediante listas de control de acceso (ACL), de modo que solo usuarios de confianza puedan ejecutar scripts Lua u otros comandos potencialmente peligrosos.
La empresa de ciberseguridad Wiz, responsable del descubrimiento y reporte de la vulnerabilidad el 16 de mayo de 2025, describió el error como una falla de corrupción de memoria tipo use-after-free presente en el código fuente de Redis desde hace aproximadamente 13 años. Según Wiz, el exploit permite escapar del entorno seguro (sandbox) del intérprete Lua, obteniendo ejecución de código nativo en el host que ejecuta Redis. Este acceso podría emplearse para robar credenciales, desplegar malware, exfiltrar información confidencial o realizar movimientos laterales dentro de entornos en la nube.
Aunque no existen evidencias de explotación activa, Redis continúa siendo un objetivo frecuente para atacantes que buscan realizar campañas de criptominería o integrar instancias vulnerables en botnets. Actualmente, se estima que existen alrededor de 330,000 instancias de Redis expuestas públicamente, de las cuales unas 60,000 carecen de autenticación.
Dada la combinación de amplia distribución, configuraciones por defecto inseguras y el nivel de criticidad del fallo, expertos advierten que la aplicación inmediata de las actualizaciones es esencial para mitigar el riesgo y proteger la infraestructura de las organizaciones afectadas.
Fuente: thehackernews[.]com
