मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-25588

CVE-2026-25588: RCE in RedisTimeSeries Module

प्लेटफ़ॉर्म

redis

घटक

redis-server

में ठीक किया गया

1.12.14

NVD पर देखें
सहेजें

CVE-2026-25588 is a Remote Code Execution (RCE) vulnerability affecting RedisTimeSeries, a time-series module for Redis. This vulnerability allows an authenticated attacker to execute arbitrary code on a server running the vulnerable module. It impacts versions of RedisTimeSeries prior to 1.12.14, and a patch is available in version 1.12.14.

प्रभाव और हमले की स्थितियाँ

CVE-2026-25588 RedisTimeSeries मॉड्यूल के 1.12.14 से पहले के संस्करणों को प्रभावित करता है। यह एक प्रमाणित हमलावर को RESTORE कमांड को निष्पादित करने की अनुमति देता है, जिसके पास RedisTimeSeries मॉड्यूल लोड किए गए सर्वर पर, एक दुर्भावनापूर्ण क्रमबद्ध पेलोड प्रदान करने की अनुमति है। यह पेलोड अमान्य मेमोरी एक्सेस का कारण बन सकता है, जिससे संभावित रूप से रिमोट कोड निष्पादन हो सकता है। इस भेद्यता के लिए CVSS स्कोर 8.8 है, जो उच्च जोखिम इंगित करता है। मूल कारण RESTORE कमांड के माध्यम से संसाधित क्रमबद्ध मानों का अनुचित सत्यापन है। इस जोखिम को कम करने के लिए संस्करण 1.12.14 या बाद में अपग्रेड करना महत्वपूर्ण है। इस भेद्यता का सफल शोषण RedisTimeSeries सर्वर पर संग्रहीत डेटा की गोपनीयता, अखंडता और उपलब्धता से समझौता कर सकता है।

शोषण संदर्भ

एक हमलावर को RedisTimeSeries सर्वर तक प्रमाणित पहुंच और RESTORE कमांड को निष्पादित करने की अनुमति की आवश्यकता होती है। यह समझौता किए गए क्रेडेंशियल्स के माध्यम से या सिस्टम में अन्य कमजोरियों का शोषण करके प्राप्त किया जा सकता है। पहुंच प्राप्त करने के बाद, हमलावर एक दुर्भावनापूर्ण क्रमबद्ध पेलोड बना सकता है जिसे RESTORE कमांड में सत्यापन की कमी का फायदा उठाने के लिए डिज़ाइन किया गया है। इस पेलोड में दुर्भावनापूर्ण कोड शामिल हो सकता है जो डिसीरियलाइज़ेशन पर निष्पादित होता है। शोषण की सफलता RedisTimeSeries सर्वर के कॉन्फ़िगरेशन और हमले को सुविधाजनक बनाने वाले अन्य कारकों की उपस्थिति पर निर्भर करती है। हमले की जटिलता हमलावर के कौशल और उपलब्ध उपकरणों के आधार पर भिन्न हो सकती है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.27% (50% शतमक)

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H8.8HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकredis-server
विक्रेताRedisTimeSeries
अधिकतम संस्करण1.12.14
में ठीक किया गया1.12.14

कमजोरी वर्गीकरण (CWE)

CWE-122

समयरेखा

  1. प्रकाशित
  2. संशोधित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-25588 को संबोधित करने के लिए प्राथमिक समाधान RedisTimeSeries मॉड्यूल को संस्करण 1.12.14 या बाद में अपग्रेड करना है। इस संस्करण में क्रमबद्ध मानों को सही ढंग से मान्य करने के लिए आवश्यक फिक्स शामिल है। एक वैकल्पिक शमन उपाय के रूप में, एक्सेस कंट्रोल लिस्ट (ACL) का उपयोग करके RESTORE कमांड तक पहुंच को प्रतिबंधित करने की सिफारिश की जाती है। यह हमलावर की RESTORE कमांड को निष्पादित करने की क्षमता को सीमित करता है, भले ही उसे सर्वर तक प्रमाणित पहुंच प्राप्त हो। ACL कार्यान्वयन को न्यूनतम विशेषाधिकार के सिद्धांत पर आधारित किया जाना चाहिए, प्रत्येक उपयोगकर्ता या एप्लिकेशन को केवल आवश्यक अनुमतियां प्रदान की जानी चाहिए। RedisTimeSeries सुरक्षा नीतियों की समीक्षा और अपडेट करना भी महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि सर्वोत्तम सुरक्षा प्रथाओं को लागू किया गया है। अपग्रेड और RESTORE कमांड तक पहुंच को प्रतिबंधित करने के संयोजन से इस भेद्यता के खिलाफ एक मजबूत बचाव प्रदान किया जा सकता है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el módulo RedisTimeSeries a la versión 1.12.14 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE con reglas ACL para limitar el impacto potencial en caso de que no pueda actualizar inmediatamente.

अक्सर पूछे जाने वाले सवाल

CVE-2026-25588 क्या है — redis server में Remote Code Execution (RCE)?

RedisTimeSeries Redis के लिए एक मॉड्यूल है जो समय श्रृंखला कार्यक्षमता प्रदान करता है।

क्या मैं redis server में CVE-2026-25588 से प्रभावित हूं?

संस्करण 1.12.14 या बाद में अपग्रेड करने से एक सुरक्षा भेद्यता ठीक हो जाती है जो रिमोट कोड निष्पादन की अनुमति दे सकती है।

redis server में CVE-2026-25588 को कैसे ठीक करें?

ACL (एक्सेस कंट्रोल लिस्ट) आपको RESTORE जैसे विशिष्ट Redis कमांड तक पहुंच को प्रतिबंधित करने की अनुमति देते हैं, जिससे शोषण का जोखिम कम हो जाता है।

क्या CVE-2026-25588 का सक्रिय रूप से शोषण किया जा रहा है?

एक अस्थायी उपाय के रूप में, RESTORE कमांड तक पहुंच को प्रतिबंधित करने के लिए ACL लागू करें।

CVE-2026-25588 के लिए redis server का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

अपग्रेड का आमतौर पर प्रदर्शन पर कोई महत्वपूर्ण प्रभाव नहीं पड़ता है। उत्पादन में अपग्रेड लागू करने से पहले एक स्टेजिंग वातावरण में परीक्षण करने की सिफारिश की जाती है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...