Source: Horizon3.ai — Contexte: publication d’un résumé exécutif et technique sur CVE-2025-49844 affectant Redis.
• La faille CVE-2025-49844 est une vulnérabilité critique d’exécution de code à distance (RCE) dans le moteur de scripts Lua de Redis, notée CVSS 10.0. Elle permet à des utilisateurs authentifiés d’exécuter du code arbitraire via des scripts Lua spécialement conçus manipulant le collecteur de déchets (garbage collector). Bien que l’exploitation nécessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par défaut, ce qui élargit considérablement la surface d’attaque. Redis a divulgué la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a été observée, mais les organisations sont incitées à mettre à niveau immédiatement.
• Sur le plan technique, la vulnérabilité provient d’une mauvaise gestion mémoire lors du traitement d’objets collectés par le garbage collector, menant à une condition use-after-free et à l’exécution de code arbitraire sur le serveur Redis. Une exploitation réussie offre un contrôle total de l’instance Redis, avec possibilités de montée en privilèges, installation de malware, exfiltration de données et mouvements latéraux.
• Indicateurs de compromission (IOCs) signalés :
- Accès Redis non autorisé
- Scripts Lua anormaux
- Plantages du serveur liés au moteur Lua
- Exécution inattendue de commandes par « redis-server »
- Trafic réseau inhabituel
- Modifications non autorisées du système de fichiers
• Détection et état: le test NodeZero Rapid Response détecte en toute sécurité les instances vulnérables en vérifiant les numéros de version du service, sans exploitation. Aucun cas d’exploitation active n’est rapporté dans cette note.
Type d’article: publication de recherche visant à divulguer et documenter une vulnérabilité critique et ses impacts potentiels, avec références et indicateurs associés. 🚨
🔗 Source originale : https://horizon3.ai/attack-research/vulnerabilities/cve-2025-49844/