首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Redis 未认证连接导致拒绝服务漏洞 (CVE-2025-48367)

发布时间 2025-07-08

一、漏洞概述


漏洞名称

Redis 未认证连接导致拒绝服务漏洞

CVE   ID

CVE-2025-48367

漏洞类型

拒绝服务

发现时间

2025-07-08

漏洞评分

7.5

漏洞等级

高危

攻击向量

网络

所需权限

利用难度

用户交互

不需要

PoC/EXP

未公开

在野利用

未发现


Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。


2025年7月8日,启明星辰集团VSRC监测到Redis中的一个未认证连接漏洞,攻击者通过反复发送IP协议错误的请求,可能导致客户端无法正常访问,最终造成拒绝服务(DoS)。该漏洞影响所有版本的Redis。攻击者可利用该漏洞在没有认证的情况下,持续发送无效请求,导致系统资源耗尽,进而引发服务中断,漏洞评分7.5分,漏洞等级高危。


二、影响范围


Redis < 6.2
Redis < 7.2
Redis < 7.4
Redis < 8.0


三、安全措施


3.1 升级版本


升级Redis至6.2.X、7.2.X、7.4.X或8.0.X版本。


下载链接:

https://github.com/redis/redis/releases
或通过包管理工具进行升级:
Debian/Ubuntu用户:sudo apt update && sudo apt upgrade redis
RHEL/CentOS/Fedora用户:sudo yum update redis
SUSE用户:sudo zypper refresh && sudo zypper update redis


3.2 临时措施


限制访问Redis服务的IP地址,使用防火墙策略减少潜在攻击面。


3.3 通用建议


•定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
•加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
•使用企业级安全产品,提升企业的网络安全性能。
•加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

•启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/redis/redis/security/advisories/GHSA-4q32-c38c-pwgq
https://nvd.nist.gov/vuln/detail/CVE-2025-48367
上一篇 下一篇