📌各位可以将公众号设为星标⭐
📌这样就不会错过每期的推荐内容啦~
📌这对我真的很重要!
📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流,仅供个人学习提升安全意识、了解防护手段,禁止用于任何违法活动,否则使用者自行承担法律后果。
📌2. 所分享内容及工具虽具普遍性,但因场景、版本、系统等因素,无法保证完全适用,使用者要自行承担知识运用不当、工具使用故障带来的损失。
📌3. 使用者在学习操作过程中务必遵守法规道德,面对有风险环节需谨慎预估后果、做好防护,若未谨慎操作引发信息泄露、设备损坏等不良后果,责任自负。
漏洞概述
漏洞名称
Redis HyperLogLog远程代码执行漏洞
漏洞编号
QVD-2025-26361,CVE-2025-32023
公开时间
2025年7月7日
影响量级
百万量级
奇安信评级
高危
CVSS 3.1分数
7.0
威胁类型
执行代码
利用可能性
高
POC状态
已公开
在野利用状态
未发现
EXP状态
尚未公开
技术细节状态
尚未公布
危害描述: 经过身份验证的本地用户可以使用特制的字符串来触发 hyperloglog 操作中的堆栈/堆越界写入,从而可能导致远程代码执行。
漏洞详情
影响组件
Redis 是一款开源项目,采用内存存储方式,兼容字符串、哈希、列表及集合等多种数据类型。其具备高吞吐量与低延迟特性,常用于缓存服务、消息传递及会话持久化等场景。
漏洞描述
近日,奇安信CERT发现官方已修复Redis hyperloglog远程代码执行漏洞(CVE-2025-32023),该漏洞源于Redis在处理hyperloglog操作时未严格校验输入字符串,使认证本地用户可通过定制字符串触发操作中的堆栈/堆越界写入,存在远程代码执行风险。当前该漏洞的利用方式已公开传播。鉴于其影响范围广泛,建议用户及时开展自查并采取防护措施。
影响范围
影响版本
Redis版本需在8.0.0及以上,但低于8.0.3
Redis版本需在7.4.0至7.4.4之间
Redis版本需满足7.2.* ≤ 版本 < 7.2.10
Redis版本需在2.8至6.2.19之间
复现情况
奇安信威胁情报中心安全研究人员成功复现Redis hyperloglog远程代码执行漏洞(CVE-2025-32023),相关截图见下
处置建议
安全更新
官方已发布可更新版本,建议受影响用户升级至最新版本
Redis 8.0.* 及其后续版本需为8.0.3及以上
Redis 7.4.* 以上版本
Redis 7.2.* 的版本需为 7.2.10 及以上
Redis 6.2.19 或更高版本
官方补丁下载链接:
https://github.com/redis/redis/releases
改写:
https://github.com/redis/redis/releases
修复与缓解措施:
通过ACL配置禁止用户执行hyperloglog指令
参考资料
[1]https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43 关注微信公众号后台回复“20250708”,即可获取poc下载地址
人类的伟大之处就在于面对恐惧时的崇高姿态。
原文始发于微信公众号(星夜AI安全):Redis hyperloglog模块存在可远程利用的代码执行漏洞(CVE-2025-32023)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论