Vulnerabilidades críticas en Redis 2025
Vulnerabilidad crítica - 7/10
Introducción
CVE-2025-49844 es una vulnerabilidad de tipo use-after-free en el subsistema de scripting Lua dentro de Redis que permite a un atacante, con acceso autenticado, forzar una condición de use-after-free en la máquina virtual de Lua y, como consecuencia, escapar del sandbox de scripting para ejecutar código arbitrario en el servidor que aloja Redis.
Análisis
CVE-2025-49844 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H - 9,9
CVE-2025-49844 permite a un atacante, capaz de ejecutar scripts Lua en una instancia de Redis, escapar del sandbox y ejecutar código arbitrario en el servidor que alberga Redis. Esto significa control del proceso redis-server y, potencialmente, del host, con posibilidad de exfiltración, movimiento lateral y persistencia. La explotación es relativamente factible en la práctica porque muchas instalaciones están expuestas o mal autenticadas, y la falla afecta a versiones y ramas ampliamente usadas de Redis.
Versiones afectadas
- La vulnerabilidad ha sido corregida a partir de Redis 8.2.2 para las versiones que incluyen Lua scripting
- Para otros “ramales” de Redis (OSS/CE/Stack) también hay versiones corregidas, por ejemplo, versiones mínimas como 8.0.4, 7.4.6, 7.2.11, etc.
Recomendaciones
- Migrar a versiones parcheadas (por ejemplo, 8.2.2 o superiores para versiones con Lua)
- Verificar que la versión desplegada efectivamente incluye la corrección
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://redis.io/blog/security-advisory-cve-2025-49844/
- https://thehackernews.com/2025/10/13-year-redis-flaw-exposed-cvss-100.htmlhttps://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/
- https://www.securityweek.com/critical-vulnerability-puts-60000-redis-servers-at-risk-of-exploitation/