Os mantenedores do banco de dados Redis (REmote DIctionary Server) anunciaram a publicação de uma versão atualizada do software, alterando quatro vulnerabilidades de segurança descobertas pela equipe do Google Wiz. Uma delas é um “contrabando” de código específico com o valor máximo de risco CVSS 10, exigindo atenção imediata dos gestores de TI. Ela está detalhada nas notas de lançamento da versão 8.2.2 e identificada como CVE-2025-49844. Permite que usuários registrados manipulem o coletor de lixo do sistema por meio de scripts LUA especialmente elaborados. Tal manipulação pode levar a uma situação de “use-after-free”, possibilitando a execução de código malicioso diretamente da rede. Além disso, os scripts LUA fornecidos podem induzir um “overflow de número inteiro”, resultando na execução de código injetado pela internet (CVE-2025-46817, CVSS 7.0, risco “alto”).
Leia também
Nova variante de criptojacking para servidores Apache, Oracle e Redis
Google compra startup Wiz por US$ 32 bi
Outras vulnerabilidades, embora de menor gravidade, também foram corrigidas. Os scripts LUA podem ser explorados para obter acesso de leitura fora das áreas de memória designadas ou provocar uma interrupção do servidor, causando uma negação de serviço (CVE-2025-46819, CVSS 6.3, risco “médio”). Há ainda a possibilidade de manipulação de outros objetos LUA, permitindo a execução de código próprio no contexto de outros usuários (CVE-2025-46818, CVSS 6, risco “médio”).
Em eventos como o Pwn2Own em Berlim, pesquisadores já haviam identificado e demonstrado falhas de segurança no Redis, sublinhando a importância da vigilância.
Diante do cenário, é imperativo que os administradores de sistemas atualizem imediatamente suas instâncias do Redis para a versão 8.2.2 ou superior. A versão mais recente do software de código aberto já está disponível em código-fonte no Github. Embora se preveja que as distribuições Linux liberam pacotes atualizados em breve, alguns, como a Red Hat, recomendam restringir temporariamente o acesso ao servidor a máquinas confidenciais na ausência de um pacote de atualização imediata.
