Depuis 13 ans, une vulnérabilité critique dormait incognito dans Redis, le champion du cache mémoire utilisé par 75 % des environnements cloud. Avec ce nouveau souci de sécurité, c’est une partie énorme de l’infrastructure d’Internet qui se retrouve exposée. Baptisée RediShell et notée 10/10 sur l’échelle de gravité, cette faille permet aux pirates d’exécuter du code à distance sur les serveurs, déclenchant ainsi un véritable tollé dans le milieu technologique.
Cette vulnérabilité, estampillée CVE-2025-49844, repose sur un bug “Use-After-Free” dans l’interpréteur Lua intégré à Redis. Lorsqu’un attaquant capable d’envoyer des scripts Lua malveillants exploite ce bug, il peut manipuler le garbage collector et accéder à des zones de mémoire libérées, lui permettant ainsi d’exécuter du code arbitraire sur le serveur. Cela représente un risque considérable pour des millions de serveurs à travers le monde.
Pour réduire ce genre de risque à terme, il est primordial que les géants d’Internet financent davantage les mainteneurs de ces briques logicielles essentielles.
D’après des scans de Wiz Research, environ 330 000 instances Redis sont actuellement exposées sur Internet, dont 60 000 sans aucune forme d’authentification. Cette situation soulève des questions inquiétantes sur la sécurité d’une infrastructure dont tant de services dépendent. En effet, ce type de vulnérabilité rappelle d’autres incidents critiques comme Log4Shell, qui a touché des millions de serveurs en 2021, et Heartbleed, découvert en 2014 dans OpenSSL.
Redis a rapidement réagi à la découverte de RediShell en publiant des patchs pour toutes les versions maintenues. Il est donc devenu urgent pour tous les utilisateurs de mettre à jour leurs installations, d’activer l’authentification via la directive requirepass, et de désactiver les commandes Lua si elles ne sont pas nécessaires. Ces mesures préventives sont cruciales pour réduire les risques d’attaques à l’avenir.
La découverte de cette vulnérabilité a eu lieu lors du Pwn2Own de Berlin en mai 2025, et Redis a dû gérer la divulgation de manière responsable. Toutefois, il reste à espérer que les contributions financières des géants d’Internet aux mainteneurs de ces composants critiques viendront soutenir les efforts d’audit et de sécurité à l’avenir, afin d’éviter que d’autres failles similaires ne compromettent davantage notre infrastructure Internet.
