【要点】

◎RedisにLua関連の深刻な脆弱性4件。CVE-2025-49844はCVSS9.9で、最新版8.2.2などで修正済み。Lua無効化も推奨。

【要約】

NoSQLデータベース「Redis」に、Luaスクリプト処理に起因する4件の脆弱性が判明した。中でもUse After Freeの「CVE-2025-49844」はCVSS9.9の「クリティカル」で、認証済みユーザーが細工したスクリプトを使いリモートから任意コードを実行できる恐れがある。そのほか整数オーバーフロー（CVE-2025-46817）やメモリ読み込み、オブジェクト操作に関する脆弱性も確認された。これらは10月3日公開の「Redis 8.2.2」など各最新版で修正済みで、Lua機能の無効化も推奨されている。

【ニュース】

◆NoSQLデータベース「Redis」に複数脆弱性 - 「クリティカル」も (Security NEXT, 2025/10/06)
https://www.security-next.com/175384