Redis hyperloglog模块存在可远程利用的代码执行漏洞（CVE-2025-32023）

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

漏洞概述

漏洞名称

Redis HyperLogLog远程代码执行漏洞

漏洞编号

QVD-2025-26361，CVE-2025-32023

公开时间

2025年7月7日

影响量级

百万量级

奇安信评级

高危

CVSS 3.1分数

7.0

威胁类型

执行代码

利用可能性

高

POC状态

已公开

在野利用状态

未发现

EXP状态

尚未公开

技术细节状态

尚未公布

危害描述： 经过身份验证的本地用户可以使用特制的字符串来触发 hyperloglog 操作中的堆栈/堆越界写入，从而可能导致远程代码执行。

漏洞详情

影响组件

Redis 是一款开源项目，采用内存存储方式，兼容字符串、哈希、列表及集合等多种数据类型。其具备高吞吐量与低延迟特性，常用于缓存服务、消息传递及会话持久化等场景。

漏洞描述

近日，奇安信CERT发现官方已修复Redis hyperloglog远程代码执行漏洞（CVE-2025-32023），该漏洞源于Redis在处理hyperloglog操作时未严格校验输入字符串，使认证本地用户可通过定制字符串触发操作中的堆栈/堆越界写入，存在远程代码执行风险。当前该漏洞的利用方式已公开传播。鉴于其影响范围广泛，建议用户及时开展自查并采取防护措施。

影响范围

影响版本

Redis版本需在8.0.0及以上，但低于8.0.3

Redis版本需在7.4.0至7.4.4之间

Redis版本需满足7.2.* ≤ 版本 < 7.2.10

Redis版本需在2.8至6.2.19之间

复现情况

奇安信威胁情报中心安全研究人员成功复现Redis hyperloglog远程代码执行漏洞（CVE-2025-32023），相关截图见下

处置建议

安全更新

官方已发布可更新版本，建议受影响用户升级至最新版本

Redis 8.0.* 及其后续版本需为8.0.3及以上

Redis 7.4.* 以上版本

Redis 7.2.* 的版本需为 7.2.10 及以上

Redis 6.2.19 或更高版本

官方补丁下载链接：

https://github.com/redis/redis/releases

改写：
https://github.com/redis/redis/releases

修复与缓解措施：

通过ACL配置禁止用户执行hyperloglog指令

参考资料

[1]https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43 关注微信公众号后台回复“20250708”，即可获取poc下载地址