Origine : bjCSIRT

Numéro : 2026/ALERTE/047

APERÇU :
Une vulnérabilité affectant Redis permettrait à un acteur malveillant authentifié de provoquer une exécution de code arbitraire à distance sur les systèmes affectés. 

DESCRIPTION

Redis est un système de stockage de données en mémoire open source, largement utilisé comme base de données, cache et courtier de messages dans les architectures applicatives modernes. 

Cet outil est affecté par une vulnérabilité libellée CVE-2026-23479, due à une absence de vérification d’erreur dans le mécanisme de déblocage de clients. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié, en envoyant des commandes spécialement conçues vers un serveur Redis, d’exécuter du code arbitraire sur le système hôte. 

Elle est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1. 

IMPACT

• Exécution de code arbitraire à distance ;
• Compromission totale du système hôte ; 
• Divulgation d’informations sensibles ;
• Atteinte à l’intégrité et à la disponibilité du système. 

SYSTEMES AFFECTÉS 

• Redis version 7.2.x, antérieure à 7.2.14 ; 

• Redis version 7.4.x, antérieure à 7.4.9 ; 

• Redis version 8.2.x, antérieure à 8.2.6 ; 

• Redis version 8.4.x, antérieure à 8.4.3 ; 

• Redis version 8.6.x, antérieure à 8.6.3. 

 MESURES À PRENDRE :

Mettre à jour Redis vers la version corrigée correspondant à la branche utilisée (7.2.14, 7.4.9, 8.2.6, 8.4.3 ou 8.6.3). 

RÉFÉRENCES :

• https://redis.io/blog/security-advisory-cve202623479-cve202625243-cve-2026-25588-cve202625589-cve-2026-23631/
• https://www.cve.org/CVERecord?id=CVE-2026-23479
• https://nvd.nist.gov/vuln/detail/CVE-2026-23479
• https://github.com/redis/redis/releases
• https://thehackernews.com/2026/06/autonomous-ai-tool-finds-2-year-old-rce.html