Uma vulnerabilidade crítica descoberta no Redis, popular banco de dados em memória, pode permitir que invasores executem código remotamente em servidores afetados. A falha, identificada como CVE-2025-49844 e apelidada de RediShell, recebeu pontuação 10.0 na escala CVSS, o nível máximo de gravidade. O problema afeta todas as versões do Redis com suporte a scripts em Lua e está presente no código-fonte há cerca de 13 anos.
O erro permite que um usuário autenticado envie um script Lua malicioso capaz de manipular o coletor de lixo da linguagem e escapar da sandbox, obtendo acesso total ao sistema hospedeiro. Em um cenário real de ataque, essa falha pode ser explorada para roubar credenciais, instalar malware, exfiltrar dados sensíveis ou até comprometer outros serviços conectados ao mesmo ambiente de nuvem. Embora o ataque exija autenticação, especialistas alertam que milhares de instâncias Redis permanecem expostas à internet sem proteção. Segundo estimativas, existem cerca de 330 mil instâncias Redis públicas, sendo 60 mil sem autenticação configurada, o que amplia o risco de exploração.
A vulnerabilidade foi corrigida nas versões 6.2.20, 7.2.11, 7.4.6, 8.0.4 e 8.2.2, lançadas em 3 de outubro de 2025. Usuários que ainda não aplicaram o patch devem atualizar imediatamente para evitar comprometimentos. Como medida temporária, administradores podem bloquear o uso dos comandos EVAL e EVALSHA via listas de controle de acesso (ACLs), limitando a execução de scripts Lua a identidades confiáveis. A recomendação é revisar políticas de autenticação e restringir o acesso remoto apenas a endereços autorizados.
