Forwarded from SecurityLab.ru
В Redis, популярной системе кэширования и базе данных в памяти, выявлена уязвимость нулевого дня (CVE-2025-49844), которой присвоен наивысший уровень опасности — 10. Эта ошибка существовала в коде с момента интеграции движка Lua (около 13 лет) и позволяет авторизованному злоумышленнику дистанционно выполнять код на сервере, получая полный контроль над процессом.
Дефект обусловлен некорректной работой механизма сборщика мусора при обработке Lua-скриптов, что приводит к уязвимости типа use-after-free. Этот вектор атаки затрагивает все версии, поддерживающие выполнение Lua. Масштаб проблемы подчёркивается тем, что Redis используется в примерно 75% облачных сред.
Компания Redis Labs подтвердила отсутствие зафиксированных случаев эксплуатации, но настаивает на незамедлительном обновлении. Владельцы самостоятельных инсталляций обязаны установить патч вручную. Помимо обновления, необходимо ограничить сетевой доступ к Redis и провести аудит логов на предмет индикаторов компрометации (например, необычная исходящая активность или посторонние скрипты).
#Redis #Уязвимость #CVE202549844
@SecLabNews
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Сотни тысяч беззащитных серверов. Redis 13 лет скрывал уязвимость с удалённым выполнением кода
В коде известный базы данных обнаружили неожиданный сюрприз.
❤2