Kritische Sicherheitslücke gefährdet Redis-Server weltweit

In der weit verbreiteten In-Memory-Datenbank Redis ist eine schwerwiegende Schwachstelle entdeckt worden. Die Lücke mit der Kennung CVE-2025-49844 ermöglicht es Angreifern, über manipulierte Lua-Skripte den internen Garbage Collector zu kompromittieren und so beliebigen Code aus der Ferne auszuführen. Redis bewertet die Verwundbarkeit mit dem maximalen CVSS-Score von 10,0.

Laut dem Sicherheitsunternehmen Wiz, das die Lücke „RediShell“ nennt, können Angreifer durch den Exploit aus der Sandbox ausbrechen, eine persistente Shell aufsetzen und sensible Daten wie Zugangsdaten stehlen. Besonders kritisch ist, dass viele Redis-Instanzen standardmäßig ohne Authentifizierung betrieben werden – weltweit sind laut Wiz rund 330.000 Systeme, davon 60.000 ohne Schutz, direkt erreichbar.

Betroffen sind alle Redis-Versionen mit aktivem Lua-Scripting seit 2012. Patches stehen mit den Versionen ab Redis 8.2.2, 8.0.4, 7.4.6 und 7.2.11 bereit. Das BSI warnt vor baldigen Angriffen und empfiehlt umgehendes Patchen sowie das Absichern von Servern gegen unbefugten Zugriff.

Related Posts

Entra ID: Actor-Token-Fehler erlaubte globale Admin-Übernahme in jedem Tenant

Der Sicherheits-Forscher Dirk-Jan Mollema beschreibt in einem Blogartikel eine kritische Schwachstelle in Entra ID, mit der sich mittels undokumentierter „Actor Tokens“ über die Legacy-Azure AD Graph API jede beliebige Identität – bis hin zum Global Admin – in beliebigen Tenants impersonieren ließ. Ursache war eine fehlende Mandanten-Validierung in Azure AD Graph, kombiniert mit von Microsoft-internen Diensten genutzten Actor Tokens für Service-zu-Service-Kommunikation. Diese Tokens unterlaufen Conditional Access, sind 24 Stunden gültig, erzeugen keine Ausgabe-Logs und lassen sich nicht widerrufen; missbrauchte Vorgänge wären im Ziel-Tenant kaum nachvollziehbar gewesen. Microsoft hat die Lücke nach Meldung am 14. Juli 2025 binnen Tagen serverseitig geschlossen und weitere Mitigations ausgerollt; die Schwachstelle wurde als CVE-2025-55241 erfasst.

Read More

HPE Aruba EdgeConnect SD-WAN: Patches für mehrere Schwachstellen (HPESBNW04943 rev.2)

HPE Aruba hat Sicherheitsupdates für EdgeConnect SD-WAN Gateways veröffentlicht. Betroffen sind die Release-Zweige 9.5.x.x (≤ 9.5.3.x), 9.4.x.x (≤ 9.4.3.x) sowie alle älteren/End-of-Maintenance-Versionen. Die Lücken reichen von Auth-Bypass und Command Injection bis Datenexfiltration. Besonders kritisch: CVE-2025-37124 (unauthentifizierter Transit-Traffic-Bypass) und CVE-2025-37123/-37126 (authentifizierte Befehlsausführung). CVSS bis 8.8 (v3.1), insgesamt hohes Risiko. Bulletin veröffentlicht am 16.09.2025, aktualisiert am 19.09.2025.

Read More

OpenSSL veröffentlicht Sicherheitsupdates für mehrere Schwachstellen

Die OpenSSL-Entwickler haben am 30. September 2025 drei Sicherheitslücken bekanntgegeben, die verschiedene Versionen der Bibliothek betreffen.

Read More