PT-2026-37093 · Redis · Redisbloom

Daniel Firer

+1

·

Publicado

2026-05-05

·

Atualizado

2026-06-03

·

CVE-2026-25589

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas RedisBloom versões anteriores a 2.8.20
Descrição O RedisBloom, um módulo de estruturas de dados probabilísticas para Redis, não valida adequadamente valores serializados processados através do comando 'RESTORE'. Um invasor autenticado com permissão para executar o comando 'RESTORE' em um servidor com o módulo carregado pode fornecer um payload serializado malicioso que desencadeia um acesso inválido à memória, o que pode levar à execução remota de código.
Recomendações Atualize para a versão 2.8.20. Restrinja o acesso ao comando 'RESTORE' utilizando regras de ACL como uma medida paliativa.

Exploit

Correção

RCE

Heap Based Buffer Overflow

Use After Free

Memory Corruption

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-122CWE-416CWE-787CWE-190

Identificadores relacionados

BDU:2026-06444
BDU:2026-06448
BDU:2026-06449
BDU:2026-06450
BDU:2026-06451
BIT-KEYDB-2026-25589
BIT-REDIS-2026-25589
CVE-2026-25589
OPENSUSE-SU-2026:10711-1

Produtos afetados

Redisbloom