【漏洞通告】Redis hyperloglog命令越界写入导致RCE漏洞 (CVE-2025-32023)
发布时间 2025-07-08一、漏洞概述
漏洞名称 | Redis hyperloglog命令越界写入导致RCE漏洞 | ||
CVE ID | CVE-2025-32023 | ||
漏洞类型 | 命令执行 | 发现时间 | 2025-07-08 |
漏洞评分 | 7.0 | 漏洞等级 | 高危 |
攻击向量 | 本地 | 所需权限 | 低 |
利用难度 | 高 | 用户交互 | 不需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。
2025年7月8日,启明星辰集团VSRC监测到Redis中的hyperloglog命令越界写入导致的RCE漏洞,影响Redis版本2.8到8.0.3之前的所有版本,包括7.4.5、7.2.10和6.2.19。攻击者可以利用认证用户身份,通过特殊构造的字符串触发hyperloglog操作中的堆栈/堆越界写入漏洞,可能导致远程代码执行(RCE),漏洞评分7.0分,漏洞等级高危。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://github.com/redis/redis/releases
3.2 临时措施
3.3 通用建议
•启用强密码策略并设置为定期修改。
京公网安备11010802024551号