394/68 (IT) ประจำวันพฤหัสบดีที่ 9 ตุลาคม 2568
Redis ผู้พัฒนาซอฟต์แวร์ฐานข้อมูล In-Memory Database ได้ออกประกาศถึงช่องโหว่ความรุนแรงสูงสุด หมายเลข CVE-2025-49844 หรือ “RediShell” ที่มีคะแนน CVSS 10.0 โดยช่องโหว่นี้เป็นแบบ Use-After-Free (UAF) ในระบบ Lua Scripting ของ Redis ซึ่งมีอยู่ในซอร์สโค้ดมานานกว่า 13 ปี นักวิจัยจากบริษัทความปลอดภัยคลาวด์ Wiz เป็นผู้ค้นพบและรายงานเมื่อวันที่ 16 พฤษภาคม 2025
ช่องโหว่ดังกล่าวเปิดโอกาสให้ผู้โจมตีที่สามารถยืนยันตัวตนเข้าสู่ Redis Instance ได้ ใช้ Lua Script ที่ออกแบบพิเศษเพื่อหลบเลี่ยงจาก Lua Sandbox และรันโค้ดระดับ Native บนโฮสต์ที่ติดตั้ง Redis โดยตรง อาจนำไปสู่การขโมย Credentials, ฝังมัลแวร์, ขโมยข้อมูลสำคัญ หรือลุกลามไปยังบริการคลาวด์อื่น ๆ ได้ ปัจจุบัน Redis ได้ออกแพตช์แก้ไขแล้วในเวอร์ชัน 6.2.20, 7.2.11, 7.4.6, 8.0.4 และ 8.2.2 เมื่อวันที่ 3 ตุลาคม 2025
แม้ยังไม่พบการโจมตี (In-the-Wild) แต่ด้วยจำนวน Redis Instance ที่เปิดใช้งานบนอินเทอร์เน็ตมากกว่า 330,000 ระบบ และอีกประมาณ 60,000 ระบบไม่มีการยืนยันตัวตน ทำให้ช่องโหว่นี้มีความเสี่ยงสูงที่จะถูกนำไปใช้โจมตี เช่น Cryptojacking หรือ Botnet องค์กรที่ใช้งาน Redis จึงควรอัปเดตแพตช์ทันที พร้อมกำหนด Access Control List (ACL) เพื่อจำกัดคำสั่ง EVAL/EVALSHA และปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อป้องกันความเสียหาย
แหล่งข่าว https://thehackernews.com/2025/10/13-year-redis-flaw-exposed-cvss-100.html
