Lua Scripting

A Redis divulgou uma vulnerabilidade de alta severidade em seu software de banco de dados em memória, identificada como CVE-2025-49844, também conhecida como RediShell. Com uma pontuação CVSS de 10.0, essa falha permite que um usuário autenticado execute um script Lua malicioso, manipulando o coletor de lixo e potencialmente levando à execução remota de código. A vulnerabilidade afeta todas as versões do Redis que suportam scripts Lua e foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Para mitigar o problema temporariamente, recomenda-se restringir a execução de scripts Lua através de listas de controle de acesso (ACLs) e garantir que apenas identidades confiáveis possam executar comandos arriscados. Apesar de não haver evidências de exploração ativa da falha, cerca de 330.000 instâncias do Redis estão expostas à internet, com aproximadamente 60.000 delas sem autenticação, tornando-as alvos atrativos para ataques, como o cryptojacking. A combinação de configurações inseguras e a gravidade da vulnerabilidade exige ação imediata das organizações.