Se han descubierto cinco vulnerabilidades peligrosas en Redis que afectan Redis Cloud, Redis Software y todas las ediciones comunitarias de código abierto, permitiendo la ejecución remota de código (RCE) por atacantes autenticados. Estas fallas facilitan comprometer totalmente los sistemas afectados, pudiendo derivar en exfiltración de datos o interrupción del servicio. La detección puede incluir intentos no autorizados y fallos inesperados relacionados con el motor Lua.
CVE y severidad
- CVE-2026-23479 (CVSS 7.7): Vulnerabilidad use-after-free en el flujo de desbloqueo de clientes bloqueados con severidad alta.
- CVE-2026-25243 (CVSS 7.7): Vulnerabilidad en el comando RESTORE que permite acceso inválido a memoria, con severidad alta.
- CVE-2026-25588 (CVSS 7.7): Fallo relacionado con RESTORE al usar el módulo RedisTimeSeries, severidad alta.
- CVE-2026-25589 (CVSS 7.7): Similar al anterior, pero afecta al módulo RedisBloom, severidad alta.
- CVE-2026-23631 (CVSS 6.1): Vulnerabilidad use-after-free mediado por Lua en la sincronización maestro-réplica, severidad media.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Redis | OSS / CE | Núcleo y Módulos RedisTimeSeries, RedisBloom | Todos los lanzamientos anteriores a 6.2.22, 7.2.14, 7.4.9, 8.2.6, 8.4.3 y 8.6.3 |
| Redis | Software | Núcleo | Hasta 8.0.6 (impacto); correcciones en 8.0.10-64, 7.22.2-79, 7.8.6-253, 7.4.6-279 y 7.2.4-153 |
| Redis | RedisTimeSeries (módulo) | Módulo | Versiones antes de v1.12.14, v1.10.24, v1.8.23 |
| Redis | RedisBloom (módulo) | Módulo | Versiones previas a v2.8.20, v2.6.28, v2.4.23 |
Solución
Actualizar a Redis OSS/CE versiones 6.2.22, 7.2.14, 7.4.9, 8.2.6, 8.4.3 o 8.6.3 según corresponda y aplicar actualizaciones correspondientes para Redis Software y módulos RedisTimeSeries y RedisBloom.
Recomendaciones
Priorizar la actualización inmediata a las versiones corregidas y aplicar políticas estrictas de firewall para restringir accesos en red solo a fuentes confiables; mantener habilitado el modo protegido y mecanismos robustos de autenticación; limitar privilegios de usuarios siguiendo el principio de menor privilegio para evitar abusos de comandos sensibles.