一、背景介绍
近日,监测到官方修复Redis hyperloglog远程代码执行漏洞(CVE-2025-32023),目前该漏洞 POC 已在互联网上公开。
1.1漏洞描述
Redis是一个开源的、基于内存的数据库,它支持多种数据结构,如字符串、哈希表、列表、集合等。Redis 具有高性能、低延迟的特点,广泛应用于缓存、消息队列、会话存储等场景。Redis hyperloglog远程代码执行漏洞产生的原因是Redis 在处理hyperloglog操作时,未对输入字符串进行严格验证,导致经过身份验证的本地用户可以使用特制的字符串来触发hyperloglog操作中的堆栈/堆越界写入,从而可能导致远程代码执行。
1.2漏洞编号
CVE-2025-32023
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
8.0.* <= Redis < 8.0.3
7.4.* <= Redis < 7.4.5
7.2.* <= Redis < 7.2.10
2.8 <= Redis < 6.2.19
2.2修复建议:
目前已有可更新版本,建议受影响用户升级至最新版本:
Redis 8.0.* >= 8.0.3
Redis 7.4.* >= 7.4.5
Redis 7.2.* >= 7.2.10
Redis >= 6.2.19
官方补丁下载地址:
https://github.com/redis/redis/releases
