Vulnerabilidades en productos Redis

20/05/2026 Noticias 0

Se han descubierto vulnerabilidades de severidad alta en productos Redis. Un actor malicioso podría realizar la ejecución remota de código en los sistemas afectados.

Productos afectados

Redis OSS / CE:

  • Versiones 6.2.x anteriores a 6.2.22.
  • Versiones 7.2.x anteriores a 7.2.14.
  • Versiones 7.4.x anteriores a 7.4.9.
  • Versiones 8.2.x anteriores a 8.2.6.
  • Versiones 8.4.x anteriores a 8.4.3.
  • Versiones 8.6.x anteriores a 8.6.3.

RedisTimeSeries:

  • Versiones 1.8.x anteriores a 1.8.23.
  • Versiones 1.10.x anteriores a 1.10.24.
  • Versiones 1.12.x anteriores a 1.12.14.

RedisBloom:

  • Versiones 2.4.x anteriores a 2.4.23.
  • Versiones 2.6.x anteriores a 2.6.28.
  • Versiones 2.8.x anteriores a 2.8.20.

Software Redis:

  • Versiones 7.2.x, 7.4.x, 7.8.x, 7.22.x y 8.0.x (según compilaciones específicas).

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2026-23479: con una puntuación de 7.7 en CVSS v4.0. Existe una vulnerabilidad de uso de memoria después de su liberación en el flujo de desbloqueo del cliente. Un actor malicioso remoto y autenticado podría aprovechar una gestión de errores deficiente al volver a ejecutar comandos bloqueados para provocar la ejecución remota de código.

CVE-2026-25588: con una puntuación de 7.7 en CVSS v4.0. Existe una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica en el módulo RedisTimeSeries. Un actor malicioso remoto y autenticado con permisos para ejecutar el comando RESTORE podría proporcionar una carga útil serializada manipulada para lograr la ejecución remota de código.

CVE-2026-25589: con una puntuación de 7.7 en CVSS v4.0. Existe una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica en el módulo RedisBloom. Un actor malicioso remoto y autenticado con capacidad de ejecutar el comando RESTORE podría procesar valores serializados maliciosos para provocar un acceso no válido a la memoria y la posible ejecución de código arbitrario.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-23479
https://www.cve.org/CVERecord?id=CVE-2026-25588
https://www.cve.org/CVERecord?id=CVE-2026-25589
https://redis.io/blog/security-advisory-cve202623479-cve202625243-cve2026-25588-cve202625589-cve2026-23631