2025年10月3日、RedisのLuaスクリプト機能に、認証済みユーザーが特製Luaでガベージコレクタを操作し、Use-After-Freeを誘発して任意コード実行に至る脆弱性(CVE-2025-49844)が見つかりました。悪用の現実性があるので即時アップデートを推奨します。
影響範囲はLuaスクリプトを搭載するすべてのRedis系バージョン。深刻度はCritical(CVSS 10.0)です。攻撃者はLuaサンドボックスを抜けてプロセス権限でコードを走らせ、データ窃取や横展開、暗号資産マイニングの設置などに進めます。
脆弱性の対象バージョン
-
OSS/Community/Stack: Luaスクリプト対応の全バージョン
※EVAL/EVALSHA/FUNCTIONが使える環境は影響を受けます。 -
商用系(Redis Software/Enterprise系ライン): Lua対応版は原則影響あり
対策バージョン(パッチ)
以下への更新で修正されます。最短で適用してください。
-
Redis OSS/Community: 6.2.20/7.2.11/7.4.6/8.0.4/8.2.2
-
Redis Software/Enterprise系: 7.22.2-12 以降/7.8.6-207 以降/7.4.6-272 以降/7.2.4-138 以降/6.4.2-131 以降
どうしても即時アップデートできない場合は、ACLでEVAL/EVALSHA/FUNCTIONを禁止し、Lua実行を止めてください
※暫定措置ですので基本的にはアップデートを推奨)
現実的な悪用が可能に
この欠陥は研究者により実証(通称“RediShell”)されており、インターネットに曝露されたRedisが多数存在します。
要件は「認証済みであること」ですが、認証無効の公開インスタンスも相当数見つかっており、攻撃ハードルは低めです。
まずは外向き公開の有無と認証設定を最優先で見直してください。








に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)