Source: https://thehackernews.com/2025/10/13-year-redis-flaw-exposed-cvss-100.html
🛡 概要
Redisは、そのインメモリデータベースソフトウェアにおける最大の深刻度を持つセキュリティ脆弱性についての詳細を公開しました。この脆弱性は、特定の条件下でリモートコード実行を引き起こす可能性があります。CVE-2025-49844(通称RediShell)として追跡され、CVSSスコアは10.0に設定されています。この問題は、Luaスクリプトを使用する認証済みユーザーがガーベジコレクタを操作し、use-after-freeを引き起こすことで、リモートコード実行につながる可能性があります。
🔍 技術詳細
この脆弱性は、すべてのRedisバージョンでLuaスクリプトを使用している場合に存在します。攻撃者が成功裏に悪用するには、まずRedisインスタンスへの認証アクセスを取得する必要があります。これにより、ユーザーはRedisインスタンスをインターネットにさらさず、強力な認証を設定することが重要です。Wiz社によって発見されたこの脆弱性は、約13年間存在していたuse-after-freeメモリ破損バグです。悪意のあるLuaスクリプトを送信することで、RedisのLuaインタプリタサンドボックスの外で任意のコードを実行することが可能になります。
⚠ 影響
この脆弱性は、認証を受けた攻撃者が特別に作成された悪意のあるLuaスクリプトを送信することを許可します。これにより、攻撃者はホストシステムへの完全なアクセスを得て、機密データの窃取、マルウェアの設置、敏感なデータの流出や暗号化、リソースのハイジャック、さらには他のクラウドサービスへの移動を行う可能性があります。現在、約330,000のRedisインスタンスがインターネットにさらされており、そのうち約60,000は認証がありません。これは、脆弱性が悪用される可能性を高め、組織全体にわたる重大な脅威をもたらします。
🛠 対策
この脆弱性に対する一時的な対策として、EVALおよびEVALSHAコマンドの実行を制限するアクセス制御リスト(ACL)の設定が推奨されます。また、Luaスクリプトやその他の潜在的に危険なコマンドを実行できるのは、信頼できるアイデンティティのみとすることが重要です。Redisの新しいバージョン6.2.20、7.2.11、7.4.6、8.0.4、8.2.2が2025年10月3日にリリースされ、脆弱性は修正されています。すぐに修正を行う必要があります。
