2025年10月3日公開のCVE-2025-49844は、RedisのLuaサブシステムに約13年残存していたuse-after-freeの脆弱性で、認証済み攻撃者が細工したLuaスクリプトでガベージコレクタを操作しリモートコード実行（CVSS 10.0）に至る可能性がある（RediShell）。

Lua対応のすべてのRedis版が対象で、既に複数バージョンに修正が出ている。

即時対策としては修正版への更新、EVAL/EVALSHAコマンドのACL制限、公開インスタンスの遮断・ネットワーク制限、強力な認証有効化、不要ならLua無効化などを推奨。 Redis Cloudは自動パッチ適用済み。