Redis において、Lua スクリプト機能を悪用した重大な脆弱性(通称「RediShell」)が公開されました。認証済みユーザが細工した Lua スクリプトを実行すると、Lua のガーベジコレクタの不具合を誘発し、リモートコード実行(RCE)に至る可能性があります。
CVSS は 10.0(Critical)と評価されています。お客様環境の影響有無をご確認のうえ、速やかな対策をお願いいたします。
影響を受けるお客様
・弊社クラウド(IaaS 等)上で お客様が自ら構築・運用する Redis をご利用中で、認証なしにインターネットへ該当サービスを公開している
Lua スクリプト機能を有する全ての Redis 系列 が影響対象です。OSS/CE は 8.2.1 以下が影響し、修正版は 8.2.2 以降(ほか 8.0.4/7.4.6/7.2.11 など) で提供されています。
本脆弱性について(概要)
| 識別子 | CVE-2025-49844(通称 RediShell) |
|---|---|
| 影響 | 認証後に細工された Lua スクリプトで use-after-free を誘発し、RCE に至る可能性 |
| 深刻度 | CVSS 10.0(Critical) |
| 修正状況 | OSS/CE 8.2.2 以降ほか該当系統で修正済み |
| 備考 | 悪用には Redis への認証済みアクセスが前提。したがって「インターネット露出」「弱い認証」「過剰権限」の組合せが特に危険です。 |
想定される影響
Redis プロセス権限での任意コード実行、情報窃取・改ざん・マルウェア設置等につながるおそれがあります。
お客様へのお願い(対策)
可能な限り早急に Redis を修正版(8.2.2 以上、または該当系列の修正リリース)へ更新してください。
また、インターネットからのアクセスを制限する、強力な認証を強制するなど、Redisデータベースへのアクセスを許可されたユーザーとシステムのみに制限してください。
参考情報
・Redis 公式セキュリティアドバイザリ(CVE-2025-49844、修正版バージョン一覧・緩和策の要点)
・NVD(CVE-2025-49844 の技術概要・影響バージョン)
更新履歴
2025年10月10日:初回公開
