REDIS, bellek içi veritabanı yazılımında, belirli koşullar altında uzaktan kod yürütmesine neden olabilecek maksimum bireysel güvenlik kusurunun ayrıntılarını açıkladı.
Güvenlik açığı, CVE-2025-49844 (aka Redishell), 10.0 CVSS skoru atandı.
Bir GitHub danışmanlığına göre, “Kimlik doğrulamalı bir kullanıcı, çöp toplayıcıyı manipüle etmek, kullanılmayan bir kullanımı tetiklemek ve potansiyel olarak uzaktan kod yürütmesine yol açmak için özel olarak hazırlanmış bir LUA komut dosyası kullanabilir.” “Sorun, Redis’in tüm sürümlerinde Lua Scripting ile var.”
Bununla birlikte, sömürünün başarılı olabilmesi için, bir saldırganın önce bir redis örneğine doğrulanmış bir erişim elde etmesini gerektirir, bu da kullanıcıların REDIS örneklerini internete maruz bırakmamasını ve güçlü kimlik doğrulaması ile güvence altına almamasını çok önemli hale getirir.
Sorun Redis’in tüm sürümlerini etkiler. 3 Ekim 2025’te piyasaya sürülen 6.2.20, 7.2.11, 7.4.6, 8.0.4 ve 8.2.2 sürümlerinde ele alınmıştır.
Bir yama uygulanana kadar geçici geçici çözümler olarak, değerlendirme ve değerlendirme komutlarını kısıtlamak için bir erişim kontrol listesi (ACL) ayarlayarak kullanıcıların LUA komut dosyalarını yürütmesini önlemeniz önerilir. Ayrıca, sadece güvenilir kimliklerin LUA komut dosyalarını veya potansiyel olarak riskli diğer komutları çalıştırabilmesi de çok önemlidir.
16 Mayıs 2025’te REDIS’e kusur keşfeden ve bildiren bulut güvenlik şirketi Wiz, bunu yaklaşık 13 yıldır Redis kaynak kodunda var olan bir kullanımsız (UAF) bellek bozulma hatası olarak nitelendirdi.
https://www.youtube.com/watch?v=yobt8irvao0
Esasen bir saldırganın, Redis Lua tercüman sanal alanının dışında keyfi kod yürütülmesine yol açan ve altta yatan ana bilgisayara yetkisiz erişim sağlayan kötü niyetli bir LUA komut dosyası göndermesine izin verir. Varsayımsal bir saldırı senaryosunda, kimlik bilgilerini çalmak, kötü amaçlı yazılımları bırakmak, hassas verileri dışarı atmak veya diğer bulut hizmetlerine döndürmek için kullanılabilir.
Wiz, “Bu kusur, bir post saldırganın özel hazırlanmış kötü amaçlı bir LUA komut dosyası (Redis’te varsayılan olarak desteklenen bir özellik) LUA sanal alanından kaçmasını ve Redis ana bilgisayarında keyfi yerel kod yürütme yapmasını sağlaymasına izin verir.” Dedi. “Bu, bir saldırgana ana bilgisayar sistemine tam erişim sağlar, bu da hassas verileri dışarı atmalarını, silemelerini veya şifrelemelerini, kaynakları kaçırmalarını ve bulut ortamlarında yanal hareketi kolaylaştırmasını sağlar.”
Güvenlik açığının vahşi doğada hiç kullanıldığına dair bir kanıt olmasa da, Redis örnekleri, kriptoak saldırıları yapmak ve bunları bir botnet’e katmak isteyen tehdit aktörleri için kazançlı bir hedeftir. Yazma olarak, internete maruz kalan yaklaşık 330.000 REDIS örneği vardır, bunlardan yaklaşık 60.000’i kimlik doğrulamasından yoksundur.
Wiz, “Dünya çapında yüz binlerce maruz kalan örnekle, bu kırılganlık tüm endüstrilerdeki kuruluşlar için önemli bir tehdit oluşturuyor.” Dedi. “Yaygın dağıtım, varsayılan güvensiz konfigürasyonlar ve güvenlik açığının şiddeti, acil bir iyileştirme için acil bir ihtiyaç yaratıyor.”