Redis hat eine schwerwiegende Sicherheitslücke (CVE-2025-49844) geschlossen, die mit einem CVSS-Score von 10,0 als "kritisch" eingestuft wurde. Die Schwachstelle betrifft die Lua-Engine, die in Redis für Skriptausführungen verwendet wird. Durch ein speziell präpariertes Lua-Skript kann ein authentifizierter Nutzer den Garbage Collector manipulieren und so ein "Use-after-free"-Szenario auslösen. Im schlimmsten Fall ermöglicht dies die Remote-Ausführung von Code auf dem Server.

Nach Angaben des Redis-Teams ist für eine Ausnutzung der Schwachstelle eine gültige Authentifizierung erforderlich. Um das Risiko zu minimieren, sollten Betreiber den Zugriff auf Redis-Instanzen strikt einschränken, starke Authentifizierung erzwingen und Berechtigungen für Benutzerkonten begrenzen. Insbesondere sollten nur vertrauenswürdige Identitäten Lua-Skripte ausführen dürfen. Die Entwickler raten zudem dazu, Redis-Instanzen niemals ungeschützt über das Internet zugänglich zu machen und Firewall-Regeln sowie Netzwerkrichtlinien konsequent umzusetzen.

Die Schwachstelle wurde bereits in den Redis-Clouddiensten behoben, sodass hier kein Handlungsbedarf besteht. Wer Redis selbst betreibt – ob als Community Edition, Open Source oder Enterprise-Version – sollte umgehend auf eine der fehlerbereinigten Versionen aktualisieren. Dazu zählen unter anderem Redis OSS/CE 8.2.2, 8.0.4, 7.4.6 und 7.2.11 sowie Redis Software ab Version 7.22.2-12. Hinweise auf aktive Angriffe gibt es bislang nicht. Entdeckt wurde die Lücke von Forschern der Sicherheitsfirmen Wiz und Trend Micro im Rahmen des Zero Day Initiative-Programms.