Redis / VMware / Trend Micro - CVE-2025-49844

Exécution de code arbitraire

La vulnérabilité exploitée est du type
CWE-416: Use After Free

Détails sur l'exploitation
•    Vecteur d'attaque : Réseau
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Mettre à jour Redis Software vers la version 6.4.2-131, 7.2.4-138, 7.4.6-272, 7.8.6-207, 7.22.2-20 ou ultérieure.
Mettre à jour Redis OSS/CE/Stack vers la version 7.2.0-v19, 7.2.11, 7.4.0-v7, 7.4.6, 8.0.4, 8.2.2 ou ultérieure.
Mettre à jour VMware Tanzu for Valkey vers la version 7.2.11 ou ultérieure.
En attendant le correctif qui sera proposé par Trend Micro en janvier 2026, il est recommandé d'utiliser l'outil RedisConfigUpdater-1008.zip disponible dans leur bulletin à Apex One.
Des informations complémentaires sont disponibles dans le bulletin de Redis et de Broadcom.