CVE-2026-25588: RCE in RedisTimeSeries Module
Plataforma
redis
Componente
redis-server
Corrigido em
1.12.14
CVE-2026-25588 is a Remote Code Execution (RCE) vulnerability affecting RedisTimeSeries, a time-series module for Redis. This vulnerability allows an authenticated attacker to execute arbitrary code on a server running the vulnerable module. It impacts versions of RedisTimeSeries prior to 1.12.14, and a patch is available in version 1.12.14.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-25588 afeta o módulo RedisTimeSeries em versões anteriores a 1.12.14. Ela permite que um atacante autenticado, com permissão para executar o comando RESTORE em um servidor com o módulo RedisTimeSeries carregado, forneça uma carga útil serializada maliciosa. Essa carga útil pode acionar acesso à memória inválido, levando potencialmente à execução remota de código. A pontuação CVSS para esta vulnerabilidade é 8.8, indicando um risco de alta severidade. A causa raiz é a validação inadequada de valores serializados processados através do comando RESTORE. A atualização para a versão 1.12.14 ou posterior é crucial para mitigar este risco. A exploração bem-sucedida desta vulnerabilidade pode comprometer a confidencialidade, integridade e disponibilidade dos dados armazenados no servidor RedisTimeSeries.
Contexto de Exploração
Um atacante precisa de acesso autenticado ao servidor RedisTimeSeries e permissão para executar o comando RESTORE. Isso pode ser alcançado através de credenciais comprometidas ou explorando outras vulnerabilidades no sistema. Uma vez obtido o acesso, o atacante pode construir uma carga útil serializada maliciosa projetada para explorar a deficiência de validação no comando RESTORE. Essa carga útil pode conter código malicioso que é executado na deserialização. O sucesso da exploração depende da configuração do servidor RedisTimeSeries e da presença de outros fatores que facilitem o ataque. A complexidade do ataque pode variar dependendo da habilidade do atacante e das ferramentas disponíveis.
Inteligência de Ameaças
Status do Exploit
EPSS
0.27% (percentil 50%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução primária para abordar a CVE-2026-25588 é atualizar o módulo RedisTimeSeries para a versão 1.12.14 ou posterior. Esta versão inclui a correção necessária para validar corretamente os valores serializados. Como medida de mitigação alternativa, é recomendável restringir o acesso ao comando RESTORE usando Listas de Controle de Acesso (ACLs). Isso limita a capacidade do atacante de executar o comando RESTORE, mesmo que ele obtenha acesso autenticado ao servidor. A implementação de ACLs deve ser baseada no princípio do menor privilégio, concedendo apenas as permissões necessárias a cada usuário ou aplicação. Também é importante revisar e atualizar as políticas de segurança do RedisTimeSeries para garantir que as melhores práticas de segurança sejam aplicadas. Combinar uma atualização e restringir o acesso ao comando RESTORE fornece uma defesa robusta contra esta vulnerabilidade.
Como corrigirtraduzindo…
Actualice el módulo RedisTimeSeries a la versión 1.12.14 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE con reglas ACL para limitar el impacto potencial en caso de que no pueda actualizar inmediatamente.
Perguntas frequentes
O que é CVE-2026-25588 — Remote Code Execution (RCE) em redis server?
RedisTimeSeries é um módulo para Redis que fornece capacidades de séries temporais.
Estou afetado pelo CVE-2026-25588 no redis server?
A atualização para a versão 1.12.14 ou posterior corrige uma vulnerabilidade de segurança que poderia permitir a execução remota de código.
Como corrijo o CVE-2026-25588 no redis server?
ACLs (Listas de Controle de Acesso) permitem restringir o acesso a comandos específicos do Redis, como RESTORE, mitigando o risco de exploração.
O CVE-2026-25588 está sendo explorado ativamente?
Como medida temporária, implemente ACLs para restringir o acesso ao comando RESTORE.
Onde encontro o aviso oficial do redis server para o CVE-2026-25588?
A atualização geralmente não tem um impacto significativo no desempenho. Recomenda-se realizar testes em um ambiente de teste antes de aplicar a atualização em produção.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...