In der weit verbreiteten In-Memory-Datenbank Redis ist eine schwerwiegende Schwachstelle entdeckt worden. Die Lücke mit der Kennung CVE-2025-49844 ermöglicht es Angreifern, über manipulierte Lua-Skripte den internen Garbage Collector zu kompromittieren und so beliebigen Code aus der Ferne auszuführen. Redis bewertet die Verwundbarkeit mit dem maximalen CVSS-Score von 10,0.
Laut dem Sicherheitsunternehmen Wiz, das die Lücke „RediShell“ nennt, können Angreifer durch den Exploit aus der Sandbox ausbrechen, eine persistente Shell aufsetzen und sensible Daten wie Zugangsdaten stehlen. Besonders kritisch ist, dass viele Redis-Instanzen standardmäßig ohne Authentifizierung betrieben werden – weltweit sind laut Wiz rund 330.000 Systeme, davon 60.000 ohne Schutz, direkt erreichbar.
Betroffen sind alle Redis-Versionen mit aktivem Lua-Scripting seit 2012. Patches stehen mit den Versionen ab Redis 8.2.2, 8.0.4, 7.4.6 und 7.2.11 bereit. Das BSI warnt vor baldigen Angriffen und empfiehlt umgehendes Patchen sowie das Absichern von Servern gegen unbefugten Zugriff.
