Kritiska ievainojamība Redis programmatūrā (CVE-2025-49844)

Atklāta kritiska ievainojamība (CVE-2025-49844) Redis (Remote Dictionary Server) programmatūrā, kas skar visas Redis instances. Ievainojamībai piešķirts maksimālais CVSS novērtējums - 10.0. Šī ievainojamība autentificētam lietotājam ļauj panākt attālinātu koda (RCE) izpildi uz Redis servera, izmantojot speciāli izveidotus Lua skriptus.

Jānorāda, ka Redis atbalsta Lua skriptēšanu pēc noklusējuma. Ievainojamība uzsaktāma par kritisku, jo veiksmīga uzbrukuma gadījumā ir iespējams pārņemt kontroli pār Redis serveri, piekļūt datiem vai tos mainīt, kā arī izmantot serveri tālākiem uzbrukumiem.

Šīs ievainojamības izmantošanai vispirms ir nepieciešama autentificēta piekļuve Redis instancei, tāpēc publiski eksponētām iekārtām ir vislielākais risks tik pakļautām uzbrukumiem, kas izmanto šo ievainojamību. Tāpat, ne visām instancēm autentifikācija ir iespējota, kas uzbrukuma iespējamību padara vēl lielāku.

Ieteikumi

1. Atjauniniet Redis versiju.

Pirmā un būtiskākā aizsardzības darbība ir atjaunināt Redis versiju, kur šī ievainojamība ir novērsta. 

2. Ierobežojiet Lua skriptu izpildi.

Ja atjaunināšana īslaicīgi nav iespējama, ieteicams aizliegt lietotājiem izpildīt Lua skriptus. To var paveikt, izmantojot ACL (Access Control List) noteikumus, lai bloķētu komandas EVAL un EVALSHA. Šis solis novērš ievainojamības izmantošanu, kamēr netiek uzstādīts atjauninājums.

3. Ierobežojiet piekļuvi Redis instancēm.

Pārliecinieties, ka Redis nav publiski pieejams internetā un piekļuvi tam var iegūt tikai autorizēti lietotāji vai iekšējās sistēmas.

4. Nodrošiniet autentifikāciju

Ja Redis instance pieejama bez paroles vai autentifikācijas, nekavējoties jāiespējo autentifikācijas mehānisms.


Papildu informācija par ievainojamību pieejama šeit: https://redis.io/blog/security-advisory-cve-2025-49844/