CVE-2026-25589: RCE in RedisBloom Redis Module
Plataforma
redis
Componente
redis-server
Corrigido em
2.8.20
CVE-2026-25589 is a Remote Code Execution (RCE) vulnerability affecting the RedisBloom module for Redis, specifically versions up to 2.8.20. An authenticated attacker can exploit this flaw by crafting a malicious payload through the RESTORE command, potentially leading to complete system compromise. The vulnerability has been fixed in version 2.8.20, and a workaround involving Access Control Lists (ACLs) is available.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-25589 afeta o RedisBloom em versões anteriores a 2.8.20. Permite que um atacante autenticado, com permissão para executar o comando RESTORE em um servidor com o módulo RedisBloom carregado, forneça uma carga útil serializada especialmente criada. Essa carga útil pode provocar acessos inválidos à memória, o que potencialmente pode resultar na execução remota de código. O risco é significativo, especialmente em ambientes onde o acesso ao comando RESTORE não é adequadamente restrito. A gravidade da vulnerabilidade é classificada com um CVSS de 8.8, indicando um alto nível de risco. A exploração bem-sucedida pode permitir que um atacante comprometa a confidencialidade, integridade e disponibilidade do sistema Redis.
Contexto de Exploração
A vulnerabilidade é explorada através do comando RESTORE do Redis, que é usado para reconstruir chaves a partir de uma representação serializada. Um atacante pode criar uma carga útil serializada maliciosa e, se tiver as permissões necessárias, restaurá-la no servidor RedisBloom. A falta de validação adequada dos dados serializados durante o processo de restauração permite que a carga útil maliciosa cause um acesso à memória inválido, o que pode levar à execução de código arbitrário. A autenticação é necessária para executar o comando RESTORE, mas se um atacante já tiver credenciais válidas, a exploração se torna mais viável.
Inteligência de Ameaças
Status do Exploit
EPSS
0.27% (percentil 50%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução recomendada é atualizar o RedisBloom para a versão 2.8.20 ou posterior. Essa versão inclui a correção para a vulnerabilidade. Como medida de mitigação alternativa, se a atualização imediata não for possível, recomenda-se restringir o acesso ao comando RESTORE usando ACLs (Listas de Controle de Acesso) do Redis. Isso limita a capacidade dos atacantes de executar o comando RESTORE com dados maliciosos. É crucial revisar e fortalecer as políticas de segurança do Redis para prevenir a exploração desta e outras vulnerabilidades semelhantes. Recomenda-se monitorar os logs do Redis em busca de atividades suspeitas relacionadas ao comando RESTORE.
Como corrigirtraduzindo…
Actualice el módulo RedisBloom a la versión 2.8.20 o superior para mitigar la vulnerabilidad. Restrinja el acceso al comando RESTORE utilizando reglas de ACL para evitar que atacantes no autorizados exploten esta falla.
Perguntas frequentes
O que é CVE-2026-25589 — Remote Code Execution (RCE) em redis server?
RedisBloom é um módulo para Redis que fornece estruturas de dados probabilísticas, como filtros Bloom, Count-Min Sketch e HyperLogLog.
Estou afetado pelo CVE-2026-25589 no redis server?
A atualização para a versão 2.8.20 ou posterior corrige a vulnerabilidade CVE-2026-25589, prevenindo a execução remota de código.
Como corrijo o CVE-2026-25589 no redis server?
As ACLs do Redis são um mecanismo para controlar o acesso aos comandos do Redis, restringindo quais usuários podem executar quais comandos.
O CVE-2026-25589 está sendo explorado ativamente?
Você pode verificar a versão do RedisBloom executando o comando INFO module redisbloom em seu cliente Redis.
Onde encontro o aviso oficial do redis server para o CVE-2026-25589?
Como mitigação temporária, restrinja o acesso ao comando RESTORE usando ACLs do Redis.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...