CVE-2026-25588: RCE dans RedisTimeSeries
Plateforme
redis
Composant
redis-server
Corrigé dans
1.12.14
La vulnérabilité CVE-2026-25588 affecte le module RedisTimeSeries, une extension pour Redis, et permet une exécution de code à distance (RCE). Cette faille est due à une validation insuffisante des données sérialisées traitées via la commande RESTORE. Les versions concernées sont celles antérieures à 1.12.14. Une correction a été déployée dans la version 1.12.14.
Impact et Scénarios d'Attaque
Un attaquant authentifié disposant des permissions nécessaires pour exécuter la commande RESTORE sur un serveur Redis avec le module RedisTimeSeries chargé peut exploiter cette vulnérabilité. En fournissant une charge utile sérialisée malveillante, l'attaquant peut provoquer un accès mémoire non valide, menant potentiellement à une exécution de code à distance sur le serveur Redis. La compromission d'un serveur Redis peut permettre à l'attaquant d'accéder aux données stockées, de modifier la configuration du serveur, voire de prendre le contrôle complet du système. Cette vulnérabilité pourrait être exploitée pour lancer des attaques par déni de service (DoS) ou pour servir de point d'entrée pour des attaques plus complexes ciblant d'autres systèmes connectés au réseau.
Contexte d'Exploitation
La vulnérabilité CVE-2026-25588 a été publiée le 5 mai 2026. Sa probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable et de la complexité potentielle de la création d'une charge utile sérialisée malveillante. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité (RCE) la rend potentiellement attrayante pour les acteurs malveillants. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité suspecte.
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.27% (percentile 50%)
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
- Availability
- Élevé — panne complète ou épuisement des ressources. Déni de service total.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour RedisTimeSeries vers la version 1.12.14 ou supérieure. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement consiste à restreindre l'accès à la commande RESTORE via des règles ACL (Access Control Lists) dans Redis. Ces règles doivent limiter l'accès à la commande RESTORE aux utilisateurs autorisés uniquement. En complément, il est recommandé de surveiller les journaux d'audit de Redis pour détecter toute tentative d'exploitation de la vulnérabilité. Après la mise à jour, vérifiez que la version de RedisTimeSeries est bien la version corrigée en exécutant la commande INFO module redisTimeSeries et en vérifiant la version affichée.
Comment corrigertraduction en cours…
Actualice el módulo RedisTimeSeries a la versión 1.12.14 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE con reglas ACL para limitar el impacto potencial en caso de que no pueda actualizar inmediatamente.
Questions fréquentes
Que signifie CVE-2026-25588 — RCE dans RedisTimeSeries ?
CVE-2026-25588 décrit une vulnérabilité d'exécution de code à distance (RCE) dans le module RedisTimeSeries, permettant à un attaquant d'exécuter du code sur le serveur Redis. Cette vulnérabilité est présente dans les versions antérieures à 1.12.14.
Suis-je affecté par CVE-2026-25588 dans RedisTimeSeries ?
Vous êtes affecté si vous utilisez RedisTimeSeries dans une version inférieure à 1.12.14. Vérifiez votre version actuelle avec la commande redis-cli INFO module redisTimeSeries.
Comment corriger CVE-2026-25588 dans RedisTimeSeries ?
La correction consiste à mettre à jour RedisTimeSeries vers la version 1.12.14 ou supérieure. En attendant, restreignez l'accès à la commande RESTORE via des règles ACL.
CVE-2026-25588 est-il activement exploité ?
À l'heure actuelle, aucune exploitation active n'a été signalée, mais la nature de la vulnérabilité (RCE) la rend potentiellement attrayante pour les attaquants. Une surveillance continue est recommandée.
Où puis-je trouver l'avis officiel de Redis pour CVE-2026-25588 ?
Consultez le site web de Redis et les canaux de communication officiels pour obtenir l'avis de sécurité correspondant à CVE-2026-25588.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Essayez maintenant — sans compte
scanZone.subtitle
Glissez-déposez votre fichier de dépendances
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...