この重大な脆弱性により、攻撃者はインメモリデータストアのLuaサンドボックスを脱出し、その後基盤となるサーバー上で任意のコードを実行できます。
人気のインメモリデータストアRedisは、データベースをホストするサーバー上でリモートコード実行につながる重大な脆弱性に対するパッチを受け取りました。この脆弱性を悪用するには認証が必要ですが、多くのRedisインスタンスでは認証が設定されておらず、約60,000台がこの構成でインターネットに公開されています。
「Redisは推定でクラウド環境の75%で利用されているため、潜在的な影響は広範囲に及びます」と、この脆弱性を発見したWizの研究者はレポートで述べています。「組織は、インターネットに公開されているインスタンスを優先して、直ちにパッチを適用することが強く推奨されます。」
この脆弱性はCVE-2025-49844またはRediShellとして識別されており、Redisのコードベースに約13年間存在していたuse-after-freeメモリ破損バグです。これはWizの研究者によって発見され、5月にPwn2Own Berlinコンテストで使用されました。
Redisはこの脆弱性に加え、他の3つの脆弱性 — CVE-2025-46817、CVE-2025-46818、CVE-2025-46819 — を修正し、これらは10月3日にリリースされたバージョン6.2.20、7.2.11、7.4.6、8.0.4、8.2.2で対応されています。
Luaスクリプトサンドボックスの脱出
Redisはデータストアであるだけでなく、ユーザーがLuaプログラミング言語で書かれたスクリプトを実行することもできます。この強力な機能により、アプリケーションは一部のデータ関連ロジックをデータベース内で直接実行でき、パフォーマンスが向上します。
Luaスクリプトはサンドボックス内で実行されますが、CVE-2025-49844により攻撃者はその制約を回避し、基盤となるサーバー上で任意のコードを直接実行できます。このため、この脆弱性はCVSSスケールで最高の重大度評価である10を受けています。
Wizが実証した概念実証攻撃では、攻撃者はこの脆弱性を悪用してリバースシェルを開始し、追加のコマンドを実行できるようにします。これにより、SSHキーやAWS IAMトークン、証明書など、環境から認証情報が盗まれる可能性があります。また、マルウェアや暗号通貨マイナーの展開にもつながります。
Redis認証の欠如は広範な問題
Redisは認証をサポートしていますが、特に内部ネットワーク上やインターネット上でも、しばしば認証なしで導入されています。例えば、Wizの研究者によると、クラウド環境の57%でRedisはコンテナイメージとして導入されており、Docker Hubの公式Redisコンテナはデフォルトで認証が有効になっていません。
「認証がなく、インターネットに公開されている組み合わせは非常に危険であり、誰でもRedisインスタンスに問い合わせたり、特にLuaスクリプト(デフォルトで有効)が送信できてしまいます」と研究者は指摘します。「これにより、攻撃者は脆弱性を悪用し、環境内でRCEを達成できます。」
約300,000のRedisインスタンスがインターネットに公開されており、そのうち推定60,000台は認証が有効になっていません。さらに多くが追加のセキュリティ強化なしで内部ネットワークに導入されており、内部のどのホストからも接続できる状態です。
Redisサーバーは一般的な攻撃対象であり、他のクラウドネイティブ技術とともに、サーバーに暗号通貨マイナーを展開するグループの標的となっています。過去には、他のRedis Luaサンドボックス脱出脆弱性 — 例えばDebian Redisパッケージに特有のCVE-2022-0543など — ピアツーピアワームによって悪用されていました。
