Un fallo de seguridad con puntuación máxima en Redis, la base de datos en memoria usada en tres cuartas partes de los entornos en la nube, podría permitir la ejecución remota de código. La falla permaneció oculta durante 13 años y afecta a cientos de miles de instancias mal configuradas.
Una vulnerabilidad crítica identificada como CVE-2025-49844, apodada “RediShell”, ha puesto en riesgo a miles de servidores Redis, la popular base de datos en memoria que impulsa cerca del 75% de los entornos en la nube. El fallo, que obtuvo la puntuación máxima de 10.0 en la escala CVSS, podría permitir a atacantes autenticados ejecutar código arbitrario y obtener control total del sistema afectado.
Descubierta por investigadores de la firma de ciberseguridad Wiz y presentada en el concurso Pwn2Own Berlín 2025, la vulnerabilidad tiene su origen en un error “use-after-free” dentro del motor de scripting Lua de Redis, incorporado desde 2012. El problema permite a los atacantes escapar del sandbox de Lua al enviar un script especialmente diseñado, lo que posibilita instalar puertas traseras, robar credenciales, extraer datos sensibles o desplegar malware y criptomineros.
“El fallo otorga acceso total al sistema anfitrión, lo que habilita la exfiltración, eliminación o cifrado de datos sensibles, el secuestro de recursos y movimientos laterales dentro de entornos en la nube”, explicó Wiz en su informe técnico.
Aunque el ataque requiere autenticación, los investigadores advirtieron que unas 330 mil instancias de Redis están expuestas en Internet, y cerca de 60 mil carecen de autenticación alguna, lo que las convierte en objetivos particularmente vulnerables.
Redis publicó actualizaciones el 3 de octubre, corrigiendo el fallo en las versiones 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138 y 6.4.2-131, tanto para ediciones comerciales como para las variantes open source y comunitarias. “Instale las actualizaciones cuanto antes y restrinja el acceso a redes de confianza”, recomendó la compañía, añadiendo que los administradores deben habilitar autenticación, ejecutar Redis con usuarios no privilegiados, desactivar Lua si no se necesita y aplicar controles de red mediante firewalls o VPCs.
La comunidad de seguridad teme que la falla sea aprovechada pronto. La Oficina Federal de Seguridad de la Información (BSI), una de las pocas que ha publicado alertas al respecto e identificado que en ese país hay cerca de 4 mil instancias expuestas, advirtió en un comunicado que, dada su simplicidad y la amplia adopción de Redis, “los intentos de explotación son inminentes una vez que se revelen los detalles técnicos”.
Redis ha sido históricamente un blanco atractivo para los cibercriminales. En los últimos años, variantes de malware como P2PInfect, Redigo, HeadCrab y Migo han utilizado servidores vulnerables para minar criptomonedas o desplegar ransomware.
Por ahora, no se han detectado ataques activos que exploten CVE-2025-49844, pero los expertos subrayan la urgencia de actuar. “La combinación de una vulnerabilidad crítica, configuraciones inseguras por defecto y la masiva presencia de Redis en la nube crea una tormenta perfecta”, advirtió Wiz en su reporte.