Redis: 4 vulnérabilités Lua (dont RCE CVE‑2025‑49844, CVSS 10) — mises à jour disponibles

Selon runZero, plusieurs vulnérabilités liées à la fonctionnalité de scripting Lua de Redis ont été divulguées, avec des impacts allant de l’exécution de code à distance à la panne de service, et des mises à jour sont disponibles.

• Quatre avis GitHub Security Advisory sont cités: GHSA-4789-qfc9-5f9q, GHSA-m8fj-85cg-7vhp, GHSA-qrv7-wcrx-q5jp, GHSA-4c68-q8q8-3g4f. Les failles incluent:

  • CVE-2025-49844 (CVSS 10.0): un adversaire distant à faible privilège peut, via un script Lua spécialement conçu manipulant le garbage collector, déclencher un use-after-free menant à une exécution de code à distance (RCE).
  • CVE-2025-46817 (CVSS 7.0): un adversaire local à faible privilège peut causer un integer overflow menant potentiellement à de la RCE.
  • CVE-2025-46818 (CVSS 6.0): un adversaire local peut manipuler différents objets Lua et exécuter du code arbitraire dans le contexte d’un autre utilisateur.
  • CVE-2025-46819 (CVSS 6.3): un adversaire local peut lire des données out-of-bounds ou provoquer un DoS en crashant le serveur.

• Impact: la compromission permettrait à un adversaire d’exécuter du code arbitraire sur l’hôte vulnérable, pouvant conduire à une compromission complète du système. 🚨

• Produits/versions affectés:

  • Redis OSS/CE: 6.2.x < 6.2.20; 7.2.x < 7.2.11; 7.4.x < 7.4.6; 8.0.x < 8.0.4; 8.2.x < 8.2.2.
  • Redis Stack: 7.2.x < 7.2.0-v19; 7.4.x < 7.4.0-v7.
  • Redis Enterprise: 6.4.x < 6.4.2-131; 7.2.x < 7.2.4-138; 7.4.x < 7.4.6-272; 7.8.x < 7.8.6-207; 7.22.x < 7.22.2-12.

• Mises à jour recommandées:

  • Redis OSS/CE: 6.2.20+; 7.2.11+; 7.4.6+; 8.0.4+; 8.2.2+.
  • Redis Stack: 7.2.0-v19+; 7.4.0-v7+.
  • Redis Enterprise: 6.4.2-131+; 7.2.4-138+; 7.4.6-272+; 7.8.6-207+; 7.22.2-12+.

• Découverte avec runZero: runZero fournit une requête d’inventaire pour identifier les installations potentiellement impactées: vendor:=Redis AND product:=Redis AND (version:>0 AND ((version:>=6.2 AND version:<6.2.20) OR (version:>=7.2 AND version:<7.2.11) OR (version:>=7.4 AND version:<7.4.6) OR (version:>=8.0 AND version:<8.0.4) OR (version:>=8.2 AND version:<8.2.2)))

TTPs observés (extraits):

• Exploitation de scripts Lua spécialement conçus.
• Manipulation du garbage collector menant à use-after-free.
• Integer overflow.
• Lecture out-of-bounds et DoS.
• RCE locale et distante selon la faille.

Conclusion: article de type vulnérabilité, visant à informer sur des failles Redis, leurs impacts, les versions concernées et les mises à jour disponibles, ainsi qu’à aider à l’identification des systèmes via runZero. 🛠️

---

🔗 Source originale : https://www.runzero.com/blog/redis/