**Tổng quan:
Ghi nhận lỗ hổng bảo mật có định danh CVE-2025-49844 trong Redis, có thể cho phép attacker thực thi mã từ xa.
Mô tả: Lỗ hổng use-after-free (UAF) trong subsystem Lua của Redis cho phép kẻ tấn công đã xác thực trong Redis có thể gửi một Lua script được làm đặc biệt để thao túng và thoát khỏi sandbox Lua và có thể thực thi mã từ xa trên hệ thống.
**Điều kiện khai thác:
- Kẻ tấn công cần thực hiện xác thực tới redis và có khả năng gửi script Lua tới Redis.
- Lua scripting phải được enable.
- Hệ thống sử dụng phiên bản bị ảnh hưởng bởi lỗ hổng bảo mật.
** Khuyến nghị:
- Kiểm tra, rà soát và xác minh đối với các cảnh báo lỗ hổng nếu phía ABBank có sử dụng phần mềm nằm trong cảnh báo thì thực hiện nâng cấp bản vá theo khuyến nghị của nhà phát hành.
- Thực hiện chặn truy cập tới hệ thống Redis từ internet, bật authentication, chặn Internet exposure, ngăn người không tin cậy chạy Lua scripts.
- Thực hiện giám sát đối với các lệnh script như: EVAL, EVALSHA, SCRIPT LOAD, SCRIPT FLUSH.
- Kiểm tra ACLs / authentication: redis-cli ACL LIST để xem danh sách người dùng cso quyền chạy script
** Các phiên bản ảnh hưởng và phiên bản cần nâng cấp
| CVE | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| CVE-2025-49844 | tất cả các phiên bản Redis | Nâng cấp lên một trong các phiên bản như sau:6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2 |
***Nguồn tham khảo:
