CVE-2026-25588: RCE en RedisTimeSeries Server
Plataforma
redis
Componente
redis-server
Corregido en
1.12.14
La vulnerabilidad CVE-2026-25588 es una falla de Ejecución Remota de Código (RCE) que afecta al módulo RedisTimeSeries para Redis, específicamente en versiones anteriores a 1.12.14. Un atacante autenticado puede explotar esta vulnerabilidad inyectando payloads serializados maliciosos a través del comando RESTORE, lo que podría resultar en acceso no autorizado al sistema. La solución recomendada es actualizar a la versión 1.12.14 o implementar restricciones de acceso al comando RESTORE.
Impacto y Escenarios de Ataque
Esta vulnerabilidad permite a un atacante autenticado con permisos para ejecutar el comando RESTORE en un servidor con el módulo RedisTimeSeries cargado, inyectar un payload serializado malicioso. El módulo RedisTimeSeries no valida adecuadamente estos valores serializados, lo que lleva a un acceso a memoria inválida. El éxito de la explotación puede resultar en la ejecución remota de código en el servidor Redis, comprometiendo la confidencialidad, integridad y disponibilidad de los datos almacenados. La severidad de este impacto se agrava por la amplia adopción de Redis como base de datos en memoria y su uso en diversas aplicaciones críticas. Una explotación exitosa podría permitir al atacante obtener control total sobre el servidor, robar datos sensibles o interrumpir el servicio.
Contexto de Explotación
La vulnerabilidad CVE-2026-25588 fue publicada el 5 de mayo de 2026. Actualmente, no se ha reportado explotación activa en la naturaleza, pero la naturaleza de RCE la convierte en un objetivo atractivo para los atacantes. La probabilidad de explotación se considera media debido a la necesidad de autenticación y la complejidad de la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La vulnerabilidad no figura en KEV (Knowledgebase of Exploitable Vulnerabilities) al momento de la redacción.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.27% (50% percentil)
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-25588 es actualizar el módulo RedisTimeSeries a la versión 1.12.14 o superior, donde la vulnerabilidad ha sido parcheada. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al comando RESTORE utilizando reglas de Control de Acceso (ACL) en Redis. Esto limita la capacidad de los atacantes para ejecutar el comando RESTORE con payloads maliciosos. Además, se recomienda revisar y endurecer las configuraciones de seguridad de Redis, incluyendo la implementación de autenticación robusta y la limitación de los privilegios de los usuarios. Después de la actualización, confirme la corrección ejecutando una prueba de regresión para asegurar que el módulo RedisTimeSeries funciona como se espera.
Cómo corregirlotraduciendo…
Actualice el módulo RedisTimeSeries a la versión 1.12.14 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE con reglas ACL para limitar el impacto potencial en caso de que no pueda actualizar inmediatamente.
Preguntas frecuentes
What is CVE-2026-25588 — RCE en RedisTimeSeries Server?
CVE-2026-25588 es una vulnerabilidad de Ejecución Remota de Código (RCE) en el módulo RedisTimeSeries para Redis, que permite a atacantes autenticados ejecutar código malicioso a través del comando RESTORE.
Am I affected by CVE-2026-25588 in RedisTimeSeries Server?
Si está utilizando RedisTimeSeries Server en una versión anterior a 1.12.14, es vulnerable a esta vulnerabilidad. Verifique su versión actual y aplique la actualización o las mitigaciones recomendadas.
How do I fix CVE-2026-25588 in RedisTimeSeries Server?
La solución es actualizar a la versión 1.12.14 o superior. Como alternativa, restrinja el acceso al comando RESTORE con reglas ACL.
Is CVE-2026-25588 being actively exploited?
Actualmente no se han reportado explotaciones activas, pero la naturaleza de RCE la convierte en un objetivo potencial. Se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Redis advisory for CVE-2026-25588?
Consulte el sitio web oficial de Redis y las fuentes de seguridad para obtener la información más reciente sobre esta vulnerabilidad: [https://redis.io/](https://redis.io/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...