Redis предупредила о 13-летней критической уязвимости в коде проекта

Команда безопасности Redis выпустила исправления для уязвимости максимального уровня серьёзности, которая может позволить злоумышленникам удалённо выполнять код на тысячах уязвимых экземпляров. Она присутствовала в коде проекта 13 лет.

Redis (сокращение от Remote Dictionary Server) — это хранилище структур данных с открытым исходным кодом, используемое примерно в 75% облачных сред. Оно выполняет функции базы данных, кэша и брокера сообщений, а также хранит данные в оперативной памяти для сверхбыстрого доступа.

Уязвимость безопасности (отслеживаемая как CVE-2025-49844) вызвана 13-летним багом использования памяти после освобождения. Её обнаружили в исходном коде Redis. Аутентифицированные злоумышленники могут эксплуатировать уязвимость с помощью специально созданного скрипта Lua (функция включена по умолчанию).

Успешная эксплуатация позволяет им выйти из песочницы Lua, запустить использование памяти после освобождения, установить обратную оболочку для постоянного доступа и добиться удалённого выполнения кода на целевых хостах Redis.

После взлома хоста хакеры могут похитить учётные данные, внедрить вредоносное ПО или инструменты для майнинга криптовалюты, извлечь конфиденциальную информацию из Redis, перейти на другие системы в сети жертвы или использовать данные для получения доступа к другим облачным сервисам.

«Это предоставляет злоумышленнику полный доступ к хостовой системе, позволяя ему извлекать, удалять или шифровать конфиденциальные данные, перехватывать ресурсы и горизонтально перемещаться в облачных средах», — заявили исследователи Wiz, которые сообщили об уязвимости безопасности на конференции Pwn2Own в Берлине в мае 2025 года. Они назвали её RediShell.

Хотя для успешной эксплуатации злоумышленникам сначала требуется