Redis

Source: Horizon3.ai — Contexte: publication d’un résumé exécutif et technique sur CVE-2025-49844 affectant Redis. • La faille CVE-2025-49844 est une vulnérabilité critique d’exécution de code à distance (RCE) dans le moteur de scripts Lua de Redis, notée CVSS 10.0. Elle permet à des utilisateurs authentifiés d’exécuter du code arbitraire via des scripts Lua spécialement conçus manipulant le collecteur de déchets (garbage collector). Bien que l’exploitation nécessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par défaut, ce qui élargit considérablement la surface d’attaque. Redis a divulgué la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a été observée, mais les organisations sont incitées à mettre à niveau immédiatement. ...

Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025. 🚨 Principaux faits: Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte. Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source. Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification. Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud. Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique. Exposition et risque: ...

Selon runZero, plusieurs vulnérabilités liées à la fonctionnalité de scripting Lua de Redis ont été divulguées, avec des impacts allant de l’exécution de code à distance à la panne de service, et des mises à jour sont disponibles. Quatre avis GitHub Security Advisory sont cités: GHSA-4789-qfc9-5f9q, GHSA-m8fj-85cg-7vhp, GHSA-qrv7-wcrx-q5jp, GHSA-4c68-q8q8-3g4f. Les failles incluent: CVE-2025-49844 (CVSS 10.0): un adversaire distant à faible privilège peut, via un script Lua spécialement conçu manipulant le garbage collector, déclencher un use-after-free menant à une exécution de code à distance (RCE). CVE-2025-46817 (CVSS 7.0): un adversaire local à faible privilège peut causer un integer overflow menant potentiellement à de la RCE. CVE-2025-46818 (CVSS 6.0): un adversaire local peut manipuler différents objets Lua et exécuter du code arbitraire dans le contexte d’un autre utilisateur. CVE-2025-46819 (CVSS 6.3): un adversaire local peut lire des données out-of-bounds ou provoquer un DoS en crashant le serveur. Impact: la compromission permettrait à un adversaire d’exécuter du code arbitraire sur l’hôte vulnérable, pouvant conduire à une compromission complète du système. 🚨 ...

Selon une actualité publiée sur le site GBHackers le 24 avril 2025, une vulnérabilité de type déni de service (DoS) de haute gravité a été découverte dans Redis. Identifiée sous le code CVE-2025-21605, cette faille permet à des attaquants non authentifiés de faire planter des serveurs ou d’épuiser la mémoire système en exploitant des tampons de sortie mal limités. La vulnérabilité affecte les versions de Redis 2.6 et ultérieures. Des correctifs sont désormais disponibles dans les mises à jour 6.2.18, 7.2.8, et 7.4.3. La vulnérabilité provient de la configuration par défaut de Redis, qui n’impose aucune limite. ...