मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-25589

CVE-2026-25589: RCE in RedisBloom Redis Server

प्लेटफ़ॉर्म

redis

घटक

redis-server

में ठीक किया गया

2.8.20

NVD पर देखें
सहेजें

RedisBloom, Redis के लिए एक संभाव्य डेटा संरचना मॉड्यूल है। CVE-2026-25589 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो RedisBloom के संस्करण 2.8.20 से पहले के सभी संस्करणों को प्रभावित करती है। यह भेद्यता हमलावरों को RESTORE कमांड के माध्यम से क्रमबद्ध डेटा को हेरफेर करके सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। संस्करण 2.8.20 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को RedisBloom मॉड्यूल लोड किए गए सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है। एक सफल शोषण से डेटा चोरी, सिस्टम पर नियंत्रण हासिल करना, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि Redis अक्सर संवेदनशील डेटा संग्रहीत करने के लिए उपयोग किया जाता है, इसलिए इस भेद्यता का शोषण डेटा उल्लंघनों और अन्य गंभीर सुरक्षा घटनाओं का कारण बन सकता है। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां इनपुट सत्यापन की कमी के कारण रिमोट कोड एग्जीक्यूशन संभव है।

शोषण संदर्भ

यह CVE अभी हाल ही में प्रकाशित हुआ है (2026-05-05)। इसकी EPSS स्कोर अभी तक निर्धारित नहीं है, लेकिन RCE भेद्यता के कारण, यह संभावित रूप से उच्च जोखिम वाला माना जा सकता है। सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। NVD और CISA की वेबसाइटों पर अपडेट के लिए नज़र रखें।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.27% (50% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकredis-server
विक्रेताRedisBloom
अधिकतम संस्करण2.8.20
में ठीक किया गया2.8.20

कमजोरी वर्गीकरण (CWE)

CWE-122

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

RedisBloom संस्करण 2.8.20 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो RESTORE कमांड तक पहुंच को ACL नियमों के साथ प्रतिबंधित करने का एक अस्थायी समाधान है। यह सुनिश्चित करें कि केवल विश्वसनीय उपयोगकर्ताओं को ही RESTORE कमांड का उपयोग करने की अनुमति है। इसके अतिरिक्त, Redis सर्वर को फ़ायरवॉल के पीछे रखकर और केवल आवश्यक पोर्ट को उजागर करके नेटवर्क सुरक्षा को मजबूत करें। अपग्रेड के बाद, यह सत्यापित करें कि RedisBloom मॉड्यूल नवीनतम संस्करण पर चल रहा है और ACL नियम सही ढंग से कॉन्फ़िगर किए गए हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el módulo RedisBloom a la versión 2.8.20 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE utilizando reglas de ACL para evitar que atacantes no autorizados exploten esta falla.

अक्सर पूछे जाने वाले सवाल

CVE-2026-25589 — RCE RedisBloom Redis सर्वर में क्या है?

CVE-2026-25589 RedisBloom मॉड्यूल में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को RESTORE कमांड के माध्यम से हेरफेर करके मनमाना कोड निष्पादित करने की अनुमति देती है। यह भेद्यता RedisBloom के संस्करण 2.8.20 से पहले के संस्करणों को प्रभावित करती है।

क्या मैं CVE-2026-25589 में RedisBloom Redis सर्वर से प्रभावित हूं?

यदि आप RedisBloom मॉड्यूल का संस्करण 2.8.20 या उससे कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं। अपने RedisBloom संस्करण की जांच करें और यदि आवश्यक हो तो अपग्रेड करें।

मैं CVE-2026-25589 में RedisBloom Redis सर्वर को कैसे ठीक करूं?

RedisBloom को संस्करण 2.8.20 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो RESTORE कमांड तक पहुंच को ACL नियमों के साथ प्रतिबंधित करें।

क्या CVE-2026-25589 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। नवीनतम जानकारी के लिए NVD और CISA की वेबसाइटों पर नज़र रखें।

मैं CVE-2026-25589 के लिए आधिकारिक Redis सलाहकार कहां पा सकता हूं?

RedisBloom टीम की आधिकारिक सलाहकार के लिए Redis की वेबसाइट पर जाएं: [https://redis.com/blog/redisbloom-security-vulnerability/](https://redis.com/blog/redisbloom-security-vulnerability/)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...