Redis, kimlik doğrulaması sonrası uzaktan kod çalıştırmaya olanak tanıyan kritik bir güvenlik açığını duyurdu. CVE-2025-49844 olarak izlenen bu zafiyet, Lua betik motorundaki use-after-free (UAF) hatasından kaynaklanmakta ve CVSS 10.0 şiddetinde değerlendirilmektedir.
Açığın Teknik Detayları ve Etkileri
Wiz güvenlik şirketinin 16 Mayıs 2025’te bildirdiği bu hata, Redis’in Lua yorumlayıcısında sandbox dışına çıkılmasına izin veren özel hazırlanmış Lua betiklerinin çalıştırılmasına imkan tanıyor. Bu durum, saldırganların Redis sunucusu üzerinde tam kontrol sağlamasına, hassas verileri ele geçirmesine ve bulut ortamlarında yatay hareketlilik gerçekleştirmesine olanak verir.
Risk Faktörleri ve Korunma Yöntemleri
Açığın başarılı istismarı için saldırganın öncelikle Redis örneğine kimlik doğrulaması yapması gerekiyor. Bu nedenle, Redis örneklerinin internete açık bırakılmaması ve güçlü kimlik doğrulama mekanizmalarıyla korunması kritik önem taşıyor. 3 Ekim 2025’te yayımlanan 6.2.20, 7.2.11, 7.4.6, 8.0.4 ve 8.2.2 sürümleriyle bu zafiyet giderildi. Yama uygulanana kadar EVAL ve EVALSHA komutlarının erişim kontrol listeleriyle sınırlandırılması öneriliyor.
Mevcut Durum ve Tehdit Profili
Yaklaşık 330.000 Redis örneğinin internete açık olduğu ve bunların 60.000’inin kimlik doğrulaması olmadan erişilebilir durumda olduğu belirtiliyor. Bu durum, özellikle kripto madenciliği ve botnet saldırıları için Redis örneklerini cazip hedef haline getiriyor. Sektör genelinde yaygın olan bu zafiyet, acil müdahale gerektiren bir tehdit unsuru olarak değerlendiriliyor.