Redis hyperloglog 远程代码执行漏洞(CVE-2025-32023)
漏洞名称
Redis hyperloglog 远程代码执行漏洞
漏洞影响
经过身份验证的本地用户可以使用特制的字符串来触发 hyperloglog 操作中的堆栈/堆越界写入,从而可能导致远程代码执行
影响量级
百万级
奇安信评级
高危
影响版本
8.0.* <= Redis < 8.0.3
7.4.* <= Redis < 7.4.5
7.2.* <= Redis < 7.2.10
2.8 <= Redis < 6.2.19
处置方法:
缓解措施:
使用ACL限制用户执行 hyperloglog 操作
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本
Redis 8.0.* >= 8.0.3
Redis 7.4.* >= 7.4.5
Redis 7.2.* >= 7.2.10
Redis >= 6.2.19
官方补丁下载地址:
https://github.com/redis/redis/releases
参考资料
https://mp.weixin.qq.com/s/CZJJFoxl_dnRfz3VfrDNWw
https://github.com/redis/redis/commit/50188747cbfe43528d2719399a2a3c9599169445
浙公网安备 33010602011771号