概要
Redisサーバーにおいて、認証された攻撃者がリモートでコードを実行できる可能性のある重大なUse-After-Freeの脆弱性が発見されました。この脆弱性は、RedisのLuaスクリプトエンジンに存在し、CVE-2025-49844として追跡されています。
脆弱性の詳細
この脆弱性は、CVE-2025-49844として識別され、タイプはUse-After-Free (CWE-416)です。CVSS 3.1スコアは10.0(Critical)と評価されており、その深刻度を示しています。Luaスクリプト機能をサポートする全てのRedisバージョンが影響を受けるとされています。
この問題は、Wizのセキュリティ研究者であるBenny Isaacs氏、Nir Brakha氏、Sagi Tzadik氏がTrend MicroのZero Day Initiativeと協力して発見しました。
攻撃のメカニズム
脆弱性は、RedisのLuaスクリプト実装における不適切なメモリ管理に起因します。ガベージコレクターが基盤となるメモリ構造を解放した後も、メモリ参照が残存する可能性があります。これにより、認証された攻撃者は悪意のあるLuaスクリプトを作成し、ガベージコレクターを操作することでUse-After-Freeの状態を引き起こすことができます。結果として、解放されたメモリ領域を制御し、Redisサーバープロセスの権限で任意のコードを実行することが可能になります。
リスクと影響
この脆弱性は、Luaスクリプトの実行を許可している組織にとって重大なリスクをもたらします。有効なRedis認証情報を持つ攻撃者は、追加のユーザー操作やターゲットシステムでの特権昇格を必要とせず、ネットワーク経由でリモートからこの脆弱性を悪用できます。
攻撃の複雑度は「低」と評価されており、脆弱性の詳細が広く知られるようになれば、悪用技術が容易に開発される可能性があります。また、影響範囲がRedisサーバー自体を超え、同じセキュリティ境界内の他のシステムやデータに影響を及ぼす可能性も指摘されています。
対策と推奨事項
現時点では、パッチは「TBD」(開発中)とされていますが、Redis管理者は直ちに保護措置を講じることができます。主な回避策は、Access Control Lists (ACLs) を使用してEVALおよびEVALSHAコマンドを制限し、ユーザーがLuaスクリプトを実行できないようにすることです。この緩和策は、他のRedis機能を維持しつつ、攻撃ベクトルを排除します。
組織は、Redisの設定を見直し、Luaスクリプトが有効になっているインスタンスを特定し、この機能が運用に不可欠でない場合は、一時的なセキュリティ対策として直ちにACL制限を実装することが推奨されます。
元記事: https://gbhackers.com/redis-server-use-after-free-vulnerability/