|
漏洞概述 |
|||
|
漏洞名称 |
Redis HyperLogLog 远程代码执行漏洞 |
||
|
漏洞编号 |
CVE-2025-32023 |
||
|
公开时间 |
2025-07-07 |
POC状态 |
已公开 |
|
漏洞类型 |
远程代码执行 |
EXP状态 |
已公开 |
|
利用可能性 |
中 |
技术细节状态 |
已公开 |
|
CVSS 3.1 |
7.0 |
在野利用状态 |
未发现 |
01
影响组件
Redis 是一个开源的内存数据库,以其高性能、灵活性和广泛的数据结构支持而闻名。它被广泛应用于缓存、会话存储、消息队列、实时分析等场景。Redis 支持多种数据类型,包括字符串、哈希表、列表、集合、有序集合以及 HyperLogLog 等高级数据结构。
HyperLogLog 是 Redis 中的一种概率数据结构,用于估计集合中不重复元素的数量,它能够以极小的内存消耗来估计巨大数据集的基数。
02
漏洞描述
近日,Redis 官方披露了一个严重的整数溢出漏洞(CVE-2025-32023),该漏洞影响多个版本。攻击者可以通过构造恶意的 HyperLogLog 数据结构,触发整数溢出,导致越界写入,最终实现远程代码执行,相当于攻击者获得了服务器的 “操作权”。
03
漏洞复现
CVE-2025-32023 Redis HyperLogLog 远程代码执行漏洞
04
漏洞影响范围
CVE-2025-32023影响以下版本的 Redis 产品:
2.8 <= Redis < 6.2.19
7.2 <= Redis < 7.2.10
7.4 <= Redis < 7.4.5
8.0 <= Redis < 8.0.3
05
修复建议
正式防护方案
针对CVE-2025-32023漏洞,Redis 官方已经发布了漏洞修复版本,请立即更新到安全版本:
Redis 8.0.3 或更高版本
Redis 7.4.5 或更高版本
Redis 7.2.10 或更高版本
Redis 6.2.19 或更高版本
对于使用 Docker 的用户,请确保更新到最新的安全镜像版本。
临时缓解措施
1. 如果无法立即升级,可以考虑在 Redis 前添加身份验证和访问控制。
2. 限制 Redis 服务器的网络访问,确保只有受信任的客户端可以连接。
3. 禁用或限制 HyperLogLog 相关命令(如 PFADD、PFCOUNT、PFMERGE)的使用。
4. 监控系统异常行为,特别是与 Redis 服务相关的异常。
06
产品侧支持情况
360测绘云 Quake:默认支持该产品的指纹识别。
360高级持续性威胁预警系统:已具备该漏洞的检测能力。告警ID为:60129470,建议用户尽快升级检测规则库。本地安全大脑:默认支持该漏洞的PoC检测。
07
时间线
2025年7月8日,360漏洞研究院发布本安全风险通告。
08
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-32023
https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43
09
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
原文始发于微信公众号(360漏洞研究院):【已复现】Redis HyperLogLog远程代码执行漏洞(CVE-2025-32023)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论