Introducción
El equipo de seguridad de Redis ha publicado parches para una vulnerabilidad crítica que podría permitir a los atacantes obtener ejecución remota de código (RCE) en miles de instancias vulnerables del popular sistema de base de datos en memoria.
Identificada como CVE-2025-49844 y con una puntuación CVSS de 10.0 (Crítica), la falla, conocida como RediShell, se origina en una debilidad de tipo use-after-free presente desde hace 13 años en el código fuente de Redis. El fallo puede ser explotado por actores autenticados mediante el uso de un script Lua especialmente diseñado, aprovechando que esta funcionalidad está habilitada por defecto.
Análisis
La explotación exitosa de esta vulnerabilidad permite a un atacante escapar del sandbox de Lua, ejecutar código arbitrario, establecer una reverse shell para obtener acceso persistente y, en consecuencia, tomar control completo del host Redis comprometido.
Una vez dentro, los atacantes pueden robar credenciales, implantar malware o criptomineros, exfiltrar información sensible, o moverse lateralmente dentro del entorno de la víctima.
La vulnerabilidad fue reportada por investigadores de Wiz durante el evento Pwn2Own Berlín 2025. Aunque la explotación requiere acceso autenticado, se estima que existen alrededor de 330.000 instancias Redis expuestas en línea, de las cuales unas 60.000 no requieren autenticación, aumentando el riesgo de ataques masivos.
Recomendaciones
Redis ha corregido la vulnerabilidad en las versiones:
- 7.22.2-12 y superiores
- 7.8.6-207 y superiores
- 7.4.6-272 y superiores
- 7.2.4-138 y superiores
- 6.4.2-131 y superiores
Se recomienda actualizar de inmediato a una versión corregida, especialmente en instancias expuestas a Internet.
Adicionalmente, se aconseja:
- Habilitar autenticación y restringir el acceso solo a redes autorizadas.
- Deshabilitar la ejecución de scripts Lua y comandos innecesarios.
- Ejecutar Redis con un usuario sin privilegios root.
- Activar el registro y monitoreo de actividad.
- Aplicar controles de acceso a nivel de red mediante firewalls o VPCs.
La combinación de la alta criticidad, la gran cantidad de instancias expuestas y las configuraciones inseguras por defecto convierten a RediShell (CVE-2025-49844) en una amenaza grave que requiere remediación inmediata.
Referencias