Redisに危険性の高いクリティカルな脆弱性(CVE-2025-49844)-現実的に悪用される可能性

セキュリティニュース

投稿日時: 更新日時:

Redisに危険性の高いクリティカルな脆弱性(CVE-2025-49844)-現実的に悪用される可能性

2025年10月3日、RedisのLuaスクリプト機能に、認証済みユーザーが特製Luaでガベージコレクタを操作し、Use-After-Freeを誘発して任意コード実行に至る脆弱性(CVE-2025-49844)が見つかりました。悪用の現実性があるので即時アップデートを推奨します。

影響範囲はLuaスクリプトを搭載するすべてのRedis系バージョン。深刻度はCritical(CVSS 10.0)です。攻撃者はLuaサンドボックスを抜けてプロセス権限でコードを走らせ、データ窃取や横展開、暗号資産マイニングの設置などに進めます。

脆弱性の対象バージョン

  • OSS/Community/Stack: Luaスクリプト対応の全バージョン
    ※EVAL/EVALSHA/FUNCTIONが使える環境は影響を受けます。

  • 商用系(Redis Software/Enterprise系ライン): Lua対応版は原則影響あり

対策バージョン(パッチ)

以下への更新で修正されます。最短で適用してください。

  • Redis OSS/Community: 6.2.20/7.2.11/7.4.6/8.0.4/8.2.2

  • Redis Software/Enterprise系: 7.22.2-12 以降/7.8.6-207 以降/7.4.6-272 以降/7.2.4-138 以降/6.4.2-131 以降

どうしても即時アップデートできない場合は、ACLでEVAL/EVALSHA/FUNCTIONを禁止し、Lua実行を止めてください

※暫定措置ですので基本的にはアップデートを推奨)

現実的な悪用が可能に

この欠陥は研究者により実証(通称“RediShell”)されており、インターネットに曝露されたRedisが多数存在します。

要件は「認証済みであること」ですが、認証無効の公開インスタンスも相当数見つかっており、攻撃ハードルは低めです。

まずは外向き公開の有無認証設定を最優先で見直してください。