CVE-2026-25588: RCE in RedisTimeSeries Module
Plateforme
redis
Composant
redis-server
Corrigé dans
1.12.14
CVE-2026-25588 is a Remote Code Execution (RCE) vulnerability affecting RedisTimeSeries, a time-series module for Redis. This vulnerability allows an authenticated attacker to execute arbitrary code on a server running the vulnerable module. It impacts versions of RedisTimeSeries prior to 1.12.14, and a patch is available in version 1.12.14.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-25588 affecte le module RedisTimeSeries dans les versions antérieures à 1.12.14. Elle permet à un attaquant authentifié, disposant de la permission d'exécuter la commande RESTORE sur un serveur avec le module RedisTimeSeries chargé, de fournir une charge utile sérialisée malveillante. Cette charge utile peut déclencher un accès mémoire invalide, pouvant potentiellement conduire à l'exécution de code à distance. Le score CVSS pour cette vulnérabilité est de 8.8, indiquant un risque de haute gravité. La cause première est la validation inadéquate des valeurs sérialisées traitées via la commande RESTORE. La mise à niveau vers la version 1.12.14 ou ultérieure est cruciale pour atténuer ce risque. L'exploitation réussie de cette vulnérabilité pourrait compromettre la confidentialité, l'intégrité et la disponibilité des données stockées sur le serveur RedisTimeSeries.
Contexte d'Exploitation
Un attaquant a besoin d'un accès authentifié au serveur RedisTimeSeries et de la permission d'exécuter la commande RESTORE. Cela peut être obtenu par le biais d'identifiants compromis ou en exploitant d'autres vulnérabilités du système. Une fois l'accès obtenu, l'attaquant peut construire une charge utile sérialisée malveillante conçue pour exploiter la carence de validation dans la commande RESTORE. Cette charge utile peut contenir du code malveillant qui s'exécute lors de la désérialisation. Le succès de l'exploitation dépend de la configuration du serveur RedisTimeSeries et de la présence d'autres facteurs qui facilitent l'attaque. La complexité de l'attaque peut varier en fonction des compétences de l'attaquant et des outils disponibles.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.27% (percentile 50%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La solution principale pour résoudre CVE-2026-25588 est de mettre à niveau le module RedisTimeSeries vers la version 1.12.14 ou ultérieure. Cette version inclut la correction nécessaire pour valider correctement les valeurs sérialisées. En tant que mesure d'atténuation alternative, il est recommandé de restreindre l'accès à la commande RESTORE en utilisant des listes de contrôle d'accès (ACL). Cela limite la capacité de l'attaquant à exécuter la commande RESTORE, même s'il obtient un accès authentifié au serveur. La mise en œuvre des ACL doit être basée sur le principe du moindre privilège, accordant uniquement les permissions nécessaires à chaque utilisateur ou application. Il est également important de revoir et de mettre à jour les politiques de sécurité de RedisTimeSeries pour garantir que les meilleures pratiques de sécurité sont appliquées. Combiner une mise à niveau et la restriction de l'accès à la commande RESTORE fournit une défense robuste contre cette vulnérabilité.
Comment corrigertraduction en cours…
Actualice el módulo RedisTimeSeries a la versión 1.12.14 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE con reglas ACL para limitar el impacto potencial en caso de que no pueda actualizar inmediatamente.
Questions fréquentes
Qu'est-ce que CVE-2026-25588 — Remote Code Execution (RCE) dans redis server ?
RedisTimeSeries est un module pour Redis qui fournit des capacités de séries temporelles.
Suis-je affecté(e) par CVE-2026-25588 dans redis server ?
La mise à niveau vers la version 1.12.14 ou ultérieure corrige une vulnérabilité de sécurité qui pourrait permettre l'exécution de code à distance.
Comment corriger CVE-2026-25588 dans redis server ?
Les ACL (listes de contrôle d'accès) permettent de restreindre l'accès aux commandes spécifiques de Redis, telles que RESTORE, atténuant ainsi le risque d'exploitation.
CVE-2026-25588 est-il activement exploité ?
En tant que mesure temporaire, mettez en œuvre des ACL pour restreindre l'accès à la commande RESTORE.
Où trouver l'avis officiel de redis server pour CVE-2026-25588 ?
La mise à niveau n'a généralement pas d'impact significatif sur les performances. Il est recommandé de réaliser des tests dans un environnement de test avant d'appliquer la mise à niveau en production.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...