Una vulnerabilità di gravità massima, identificata come CVE-2025-49844 e soprannominata RediShell, è stata recentemente scoperta in Redis, il celebre database in-memory open source utilizzato da migliaia di aziende nel mondo. Questo bug, presente da oltre 13 anni nel codice sorgente di Redis, riceve un punteggio CVSS di 10.0, il massimo livello di criticità, e può consentire l’esecuzione di codice remoto tramite script Lua appositamente realizzati.

Il problema colpisce tutte le versioni di Redis che supportano la funzionalità di scripting Lua. Un utente autenticato, sfruttando uno script Lua creato in modo malevolo, può manipolare il garbage collector, innescare una condizione di use-after-free e potenzialmente eseguire codice arbitrario sul sistema che ospita Redis. Questo permette di superare la sandbox dell’interprete Lua integrato e ottenere il pieno controllo del sistema, con la possibilità di sottrarre dati sensibili, installare malware, rubare credenziali o eseguire ulteriori attacchi laterali all’interno di ambienti cloud.

Perché l’attacco abbia successo, è necessario che l’aggressore abbia prima accesso autenticato all’istanza Redis. Ciò rende fondamentale evitare di esporre Redis direttamente su Internet e adottare rigide misure di autenticazione e controllo accessi. Sono state rilasciate patch correttive nelle versioni 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, tutte pubblicate il 3 ottobre 2025. Nell’attesa di aggiornare, si consiglia di limitare l’uso dei comandi EVAL e EVALSHA tramite le ACL, garantendo che solo utenti fidati possano eseguire script Lua.

La vulnerabilità è stata scoperta dall’azienda di sicurezza cloud Wiz, che l’ha segnalata il 16 maggio 2025. La società sottolinea come Redis sia frequentemente preso di mira da attori malevoli per attività di cryptojacking o per l’inserimento degli host in botnet. Secondo le rilevazioni, circa 330.000 istanze Redis sono esposte online, di cui ben 60.000 senza alcuna autenticazione attiva, rendendo il rischio ancora più elevato.

Nonostante non vi siano al momento prove di attacchi attivi che sfruttano questa falla, la combinazione di diffusione globale di Redis, configurazioni di default insicure e la gravità della vulnerabilità impongono un’immediata attenzione da parte di tutte le organizzazioni che lo utilizzano. Applicare le patch e rafforzare la sicurezza delle istanze Redis è una priorità assoluta per prevenire potenziali compromissioni e proteggere infrastrutture e dati aziendali.