Une vulnérabilité critique touche Redis (CVE‑2025‑49844), le moteur clé-valeur très répandu dans les architectures web. Appelée RediShell, elle permet à un attaquant d’exécuter du code à distance en injectant un script Lua malveillant. Le bug réside dans un use-after-free du moteur de scripting Lua.
Le score CVSS grimpe à 10.0, soit le niveau de gravité maximal. Toutes les versions antérieures à Redis 8.2.2 sont vulnérables.
Une surface d’attaque massive
Aujourd’hui, plus de 330 000 instances Redis sont accessibles publiquement. De plus, une récente enquête de Wiz dévoilant que, parmi elles, 60 000 ne nécessitent même aucune authentification. Cette faille, introduite il y a plus de 13 ans, est restée exploitable en silence jusqu’à sa divulgation récente.
Comment réagir ?
Pour sécuriser votre environnement dès maintenant :
- Mettez à jour Redis vers la version 8.2.2 ou ultérieure.
- Restreignez les commandes
EVALetEVALSHAvia les ACL. - Évitez absolument toute exposition directe sur Internet.
- Activez un mot de passe sécurisé si ce n’est pas encore fait.
- Analysez vos logs pour repérer tout usage suspect de Lua.
Cette vulnérabilité a été publiée le 3 octobre 2025, en même temps qu’un correctif officiel. Plusieurs outils d’exploitation l’intègrent déjà, ce qui rend l’action urgente.
Et si vous voulez en savoir plus pour configurer Redis pour votre Magento 2, lisez notre article Magento 2 & Redis : performances, sessions et bonnes pratiques cache