Une faille de sécurité critique a été découverte dans Redis : elle expose des milliers d’instances à une exécution de code à distance. Comment se protéger ? Qui est affecté ? Voici ce qu’il faut savoir sur la CVE-2025-49844.

Pour rappel, Redis est une solution d’optimisation qui stocke des informations directement en mémoire (RAM) plutôt que sur disque, ce qui permet d’accéder aux données quasi instantanément. On l’utilise souvent pour gérer des sessions, files d’attente ou du cache, afin d’accélérer les applications web et éviter de recalculer ou recharger toujours les mêmes données.

CVE-2025-49844 : une faille critique dans Redis

Découverte par les chercheurs de Wiz à l’occasion du Pwn2Own de Berlin qui s’est déroulé en mai 2025, cette faille de sécurité critique associée à la référence CVE-2025-49844 a un score de gravité maximal (CVSS) : 10 sur 10.

Cette vulnérabilité de type use-after-free, surnommée RediShell par les chercheurs, se situe dans l’interpréteur Lua de Redis. La mauvaise nouvelle, c’est que la vulnérabilité affecte toutes les versions de Redis qui supportent le scripting en Lua : une fonctionnalité activée par défaut, et introduite il y a plus de 10 ans.

En manipulant le mécanisme de garbage collector de Lua via un script spécialement conçu, un attaquant authentifié peut s’échapper de la sandbox Lua, et ainsi déployer un reverse shell pour un accès distant persistant. Vous l’aurez compris, cette vulnérabilité peut entraîner une exécution de code à distance (RCE) sur le serveur vulnérable !

L’instance peut donc être totalement compromise, ce qui ouvre la voie à de nombreuses actions malveillantes (ransomware, vol de données, mouvement latéral, etc.). “Un attaquant dispose ainsi d’un accès complet au système hôte, ce qui lui permet d’exfiltrer, d’effacer ou de chiffrer des données sensibles, de détourner des ressources et de faciliter les mouvements latéraux au sein des environnements Cloud.“, précise les chercheurs de chez Wiz.

Un risque décuplé par des configurations peu sûres…

L’exploitation de cette faille nécessite en théorie qu’un attaquant s’authentifie sur l’instance Redis : un facteur important qu’il faut considérer. Cependant, d’après les recherches de Wiz, la réalité est plutôt inquiétante : sur les quelque 330 000 instances Redis exposées en ligne, au moins 60 000 ne requièrent aucune authentification.

Cette négligence en matière de configuration, combinée à la sévérité de la vulnérabilité, crée une situation dangereuse pour de nombreuses organisations. Pour un attaquant, c’est donc une aubaine puisque la faille devient directement exploitable si la version est vulnérable.

Comment se protéger ?

La vulnérabilité CVE-2025-49844 divulguée publiquement le 3 octobre 2025 affecte toutes les versions de Redis (à partir du moment où les scripts LUA sont pris en charge). Elle a été patchée dans Redis 8.2.2, au même titre que d’autres vulnérabilités. En effet, le GitHub de Redis mentionne 4 failles de sécurité liées au moteur de scripts Lua : CVE-2025-49844, CVE-2025-46817, CVE-2025-46818 et CVE-2025-46819.

Ce n’est pas la seule version publiée, puisque d’autres branches de version ont eu le droit également à un correctif. Elles sont référencées sur le GitHub du projet :

• Redis 8.2.2
• Redis 8.0.4
• Redis 7.4.6
• Redis 7.2.11
• Redis 6.2.20

Il est recommandé d’appliquer la mise à jour dès maintenant. Dans le cas où ce n’est pas possible : “Pour les systèmes qui ne peuvent pas être mis à jour immédiatement, il est possible de contourner le problème en empêchant les utilisateurs d’exécuter des scripts Lua grâce à des restrictions ACL sur les commandes EVAL et EVALSHA.“, précise le rapport de Wiz.