Version 1.0: Redis - Kritische Schwachstelle gefährdet Redis-Server

Beschreibung

Am 3. Oktober 2025 veröffentlichte Redis einen Blogbeitrag und ein Advisory zu einer kritischen Schwachstelle in seiner gleichnamigen Caching- und Datenbanklösung. Die Sicherheitslücke mit der Kennung CVE-2025-49844 ermöglicht es einem Angreifer mittels präparierter Lua-Skripte, den Garbage Collector – ein interner Prozess zur Speicherbereinigung – zu manipulieren und somit Code aus der Ferne auszuführen. Nach dem Common Vulnerability Scoring System (CVSS) wurde die Verwundbarkeit von Redis selbst mit maximaler Kritikalität (10 von 10) bewertet, andere CVE-Datenbanken vergeben ähnlich kritische Einschätzungen (9.9 von 10). 

Ergänzend zu diesen Veröffentlichungen gab das IT-Sicherheitsunternehmen Wiz am 6. Oktober 2025 einen zusätzlichen Bericht zu Schwachstelle heraus, der weitere Details enthält. So wird insbesondere das Angriffsszenario weiter umschrieben. Analysen von Wiz kamen zu dem Ergebnis, dass Redis in seinem Standard-Container mit per Default deaktivierter Authentifizierung ausgeliefert wird.
Nach aktuellem Kenntnisstand sind allein in Deutschland ca. 4.000 Redis-Server ohne Authentifizierung aus dem Internet erreichbar.