“Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที”
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่
นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs)
ข้อมูลสำคัญจากข่าว
CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis
ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis
ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด
Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2
ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819
แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs
ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting
Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้
ข้อมูลเสริมจากภายนอก
Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้
use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด
Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT
ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis
CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่
https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่
นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs)
ข้อมูลสำคัญจากข่าว
CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis
ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis
ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด
Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2
ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819
แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs
ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting
Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้
ข้อมูลเสริมจากภายนอก
Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้
use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด
Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT
ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis
CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่
https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/
🔥 “Redis เจอช่องโหว่ร้ายแรง CVE-2025-49844 — แฮกเกอร์สามารถรันโค้ดจากระยะไกลผ่าน Lua Script ได้ทันที”
Redis ฐานข้อมูลแบบ in-memory ที่นิยมใช้ทั่วโลกในงาน real-time analytics, caching และ message brokering กำลังเผชิญกับช่องโหว่ร้ายแรงระดับ CVSS 10.0 ที่ถูกระบุว่า CVE-2025-49844 โดยช่องโหว่นี้เกิดจากการจัดการหน่วยความจำผิดพลาดใน Lua scripting engine ซึ่งเป็นฟีเจอร์ที่นักพัฒนานิยมใช้เพื่อเพิ่มความสามารถให้ Redis
ช่องโหว่นี้เปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึง Redis สามารถใช้ Lua script ที่ออกแบบมาเฉพาะ เพื่อควบคุม garbage collector และทำให้เกิด “use-after-free” ซึ่งหมายถึงการเรียกใช้หน่วยความจำที่ถูกปล่อยไปแล้ว ส่งผลให้สามารถรันโค้ดอันตรายภายใน Redis server ได้ทันที — อาจนำไปสู่การเข้าถึงข้อมูลทั้งหมดในระบบ และขยายการโจมตีไปยังเซิร์ฟเวอร์อื่นที่เชื่อมต่ออยู่
นอกจาก CVE-2025-49844 ยังมีช่องโหว่อื่นที่เกี่ยวข้องกับ Lua scripting ได้แก่ CVE-2025-46817 (integer overflow), CVE-2025-46818 (privilege escalation ระหว่างผู้ใช้), และ CVE-2025-46819 (out-of-bounds read) ซึ่งทั้งหมดสามารถนำไปสู่การรันโค้ดหรือทำให้ Redis crash ได้
Redis ได้ออกแพตช์แก้ไขในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 พร้อมคำแนะนำให้ผู้ดูแลระบบรีบอัปเดตทันที หรือใช้วิธีชั่วคราวโดยการบล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน Access Control Lists (ACLs)
✅ ข้อมูลสำคัญจากข่าว
➡️ CVE-2025-49844 เป็นช่องโหว่ use-after-free ใน Lua scripting engine ของ Redis
➡️ ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้ หากมีสิทธิ์เข้าถึง Redis
➡️ ช่องโหว่นี้มีระดับความรุนแรง CVSS 10.0 ซึ่งถือว่าสูงสุด
➡️ Redis ได้ออกแพตช์ในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2
➡️ ช่องโหว่อื่นที่เกี่ยวข้อง ได้แก่ CVE-2025-46817, CVE-2025-46818, CVE-2025-46819
➡️ แนะนำให้บล็อกคำสั่ง EVAL, EVALSHA และ FUNCTION ผ่าน ACLs
➡️ ช่องโหว่ทั้งหมดเกิดจากการจัดการหน่วยความจำและสิทธิ์ใน Lua scripting
➡️ Redis Cloud ได้รับการอัปเดตแล้วโดยไม่ต้องดำเนินการเพิ่มเติมจากผู้ใช้
✅ ข้อมูลเสริมจากภายนอก
➡️ Lua scripting เป็นฟีเจอร์ที่ช่วยให้ Redis ทำงานแบบ custom logic ได้
➡️ use-after-free เป็นเทคนิคที่นิยมใช้ในการโจมตีหน่วยความจำเพื่อรันโค้ด
➡️ Redis ถูกใช้ในระบบขนาดใหญ่ เช่น ธนาคาร, e-commerce และระบบ IoT
➡️ ACLs เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์การใช้งานคำสั่งใน Redis
➡️ CVSS (Common Vulnerability Scoring System) ใช้ประเมินความรุนแรงของช่องโหว่
https://securityonline.info/critical-flaw-cve-2025-49844-cvss-10-0-allows-remote-code-execution-in-redis/
0 Comments
0 Shares
227 Views
0 Reviews
Thai