Origine : bjCSIRT
Numéro : 2025/ALERTE/065
Date de l’alerte : 23/10/2025
APERÇU :
Une vulnérabilité critique de type exécution de code à distance affecte toutes les versions de Redis prenant en charge les scripts Lua.
DESCRIPTION :
Redis est une base de données en mémoire utilisée pour la mise en cache, la gestion des sessions et la messagerie dans de nombreux environnements cloud.
Ce logiciel est affecté par une vulnérabilité critique libellée CVE‑2025‑49844, qui permettrait à un acteur malveillant authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés. Elle résulte d’un défaut de réutilisation après libération d’une zone mémoire (use-after-free) dans le moteur Lua de Redis. En exploitant cette vulnérabilité, un acteur malveillant pourrait provoquer une corruption mémoire conduisant à l’exécution de code arbitraire à distance.
Cette vulnérabilité est classée critique, avec un score CVSS 3.1 de 10.0
IMPACT :
- Exécution de code à distance ;
- Atteinte à l’intégrité des données ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité des données.
SYSTÈMES AFFECTÉS :
- Redis Software : toutes les versions antérieures à 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138 et 6.4.2-131
- Redis OSS/CE : toutes les versions antérieures à 8.2.2, 8.0.4, 7.4.6 et 7.2.11
- Redis Stack : toutes les versions antérieures à 7.4.0-v7 et 7.2.0-v19
MESURES À PRENDRE :
- Mettre à jour Redis vers l’une des versions corrigées ci-dessous :
- Redis Software : 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138, 6.4.2-131 ;
- OSS/CE : 8.2.2, 8.0.4, 7.4.6, 7.2.11 ;
- Stack : 7.4.0-v7, 7.2.0-v19.
- Désactiver les scripts Lua si leur usage n’est pas nécessaire, en limitant leur exécution via les listes de contrôle d’accès Redis.
- Renforcer l’authentification en imposant des mots de passe pour tout accès aux instances Redis et en activant le mode protégé.
RÉFÉRENCES :
