Scanner gratuitement
Analyse en attenteCVE-2026-25589

CVE-2026-25589: RCE dans RedisBloom pour Redis

Plateforme

redis

Composant

redis-server

Corrigé dans

2.8.20

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-25589 concerne une exécution de code à distance (RCE) dans le module RedisBloom pour Redis. Cette faille permet à un attaquant authentifié d'exploiter la commande RESTORE pour provoquer une corruption mémoire, pouvant mener à l'exécution de code malveillant sur le serveur Redis. Les versions affectées sont celles antérieures à 2.8.20. Une solution consiste à mettre à jour vers la version 2.8.20 ou à restreindre l'accès à la commande RESTORE via des règles ACL.

Impact et Scénarios d'Attaque

Un attaquant ayant les privilèges nécessaires pour exécuter la commande RESTORE sur un serveur RedisBloom peut exploiter cette vulnérabilité. En fournissant une charge utile sérialisée malveillante via RESTORE, l'attaquant peut provoquer une corruption de la mémoire, ce qui pourrait permettre l'exécution de code arbitraire sur le serveur Redis. L'impact est significatif, car un accès non autorisé au serveur Redis peut compromettre les données stockées, perturber le service et servir de point de pivot pour des attaques ultérieures sur le réseau interne. Cette vulnérabilité est particulièrement préoccupante dans les environnements où RedisBloom est utilisé pour des applications critiques, car elle offre un moyen d'escalade de privilèges potentiellement simple.

Contexte d'Exploitation

La vulnérabilité CVE-2026-25589 a été publiée le 5 mai 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification et de la complexité potentielle de la création d'une charge utile sérialisée malveillante. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de présence sur KEV ou EPSS. Consultez l'avis officiel de Redis pour plus d'informations.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

EPSS

0.27% (percentile 50%)

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredLowNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Faible — tout compte utilisateur valide est suffisant.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantredis-server
FournisseurRedisBloom
Version maximale2.8.20
Corrigé dans2.8.20

Classification de Faiblesse (CWE)

CWE-122

Chronologie

  1. Publiée
  2. Modifiée
  3. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour le module RedisBloom vers la version 2.8.20 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à restreindre l'accès à la commande RESTORE en utilisant les règles d'accès (ACL) de Redis. Configurez les ACL pour limiter l'accès à RESTORE aux utilisateurs et aux clients autorisés uniquement. En cas de problèmes de compatibilité après la mise à jour, envisagez de revenir à une version stable précédente avant d'appliquer la correction. Vérifiez après la mise à jour que la commande RESTORE est correctement restreinte et que le module RedisBloom fonctionne comme prévu en exécutant des tests de fonctionnalité.

Comment corrigertraduction en cours…

Actualice el módulo RedisBloom a la versión 2.8.20 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE utilizando reglas de ACL para evitar que atacantes no autorizados exploten esta falla.

Questions fréquentes

Que signifie CVE-2026-25589 — RCE dans RedisBloom pour Redis ?

CVE-2026-25589 est une vulnérabilité d'exécution de code à distance (RCE) dans le module RedisBloom pour Redis, permettant à un attaquant authentifié d'exécuter du code sur le serveur.

Suis-je affecté par CVE-2026-25589 dans RedisBloom pour Redis ?

Vous êtes affecté si vous utilisez une version de RedisBloom antérieure à 2.8.20 et que la commande RESTORE n'est pas correctement restreinte.

Comment corriger CVE-2026-25589 dans RedisBloom pour Redis ?

Mettez à jour RedisBloom vers la version 2.8.20 ou restreignez l'accès à la commande RESTORE via des règles ACL.

CVE-2026-25589 est-il activement exploité ?

À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2026-25589, mais la vulnérabilité reste critique et nécessite une attention immédiate.

Où puis-je trouver l'avis officiel de Redis pour CVE-2026-25589 ?

Consultez l'avis officiel de Redis sur leur site web ou leur blog pour obtenir des informations détaillées et des instructions de correction.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...