Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante.
Tribune – Redis est bien plus qu’un simple cache ; il est largement utilisé comme base de données principale et courtier de messages dans les environnements d’entreprise, à l’instar d’un service courrier central gérant des milliers de livraisons quotidiennes. La nouvelle étude de sécurité de JFrog montre que l’exploitation de cette vulnérabilité nécessite simplement l’envoi d’une seule commande avec 52 à 62 identifiants de flux. Les analyses Shodan révèlent que 3 262 serveurs non authentifiés sont vulnérables, ainsi que plus de 186 000 serveurs authentifiés potentiellement à risque si les attaquants parviennent à contourner l’authentification.
La CVE-2025-62507 s’apparente à la découverte d’une clé passe-partout pour la messagerie de l’entreprise permettant aux attaquants de contourner la sécurité, dans la mesure où personne ne vérifie les colis surdimensionnés (le débordement) en l’absence du gardien (Stack Canary).
Shachar Menashe, vice-président de JFrog Security Research, déclare :
« Les notes de gravité élevées peuvent être trompeuses. Les CVE comme CVE-2025-62507 montrent que se fier uniquement à des notes numériques peut exposer les entreprises à des exploits dangereux et facilement exploitables. Les entreprises doivent mettre en œuvre des mesures de sécurité, telles que la protection Stack Canary pendant la compilation du code, afin d’empêcher que des menaces graves ne deviennent des voies d’accès faciles pour l’exécution de code à distance. »
Ce sujet permet de rappeler que les débordements de pile restent une problématique actuelle, ainsi que les approches permettant de s’en protéger.
