原文链接: https://mp.weixin.qq.com/s?__biz=MzkzNzY5OTg2Ng==&mid=2247501277&idx=3&sn=3c9b51451f5763c003d384a08f8ec50e

【漏洞通告】Redis 未认证连接导致拒绝服务漏洞 (CVE-2025-48367)

启明星辰安全简讯 2025-07-08 08:59

一、漏洞概述

漏洞名称	Redis 未认证连接导致拒绝服务漏洞
CVE ID	CVE-2025-48367
漏洞类型	拒绝服务	发现时间	2025-07-08
漏洞评分	7.5	漏洞等级	高危
攻击向量	网络	所需权限	无
利用难度	低	用户交互	不需要
PoC/EXP	未公开	在野利用	未发现

Redis是一个开源的内存数据结构存储系统，广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构，如字符串、哈希、列表、集合、有序集合等，并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力，数据可以保存在内存中，定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置，常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能，Redis成为现代分布式系统中不可或缺的组件之一。

2025年7月8日，启明星辰集团VSRC监测到Redis中的一个未认证连接漏洞，攻击者通过反复发送IP协议错误的请求，可能导致客户端无法正常访问，最终造成拒绝服务（DoS）。该漏洞影响所有版本的Redis。攻击者可利用该漏洞在没有认证的情况下，持续发送无效请求，导致系统资源耗尽，进而引发服务中断，漏洞评分7.5分，漏洞等级高危。

二、影响范围

Redis < 6.2

Redis < 7.2

Redis < 7.4

Redis < 8.0

三、安全措施

3.1 升级版本

升级Redis至6.2.X、7.2.X、7.4.X或8.0.X版本。

下载链接：

https://github.com/redis/redis/releases

或通过包管理工具进行升级：

Debian/Ubuntu用户：sudo apt update && sudo apt upgrade redis

RHEL/CentOS/Fedora用户：sudo yum update redis

SUSE用户：sudo zypper refresh && sudo zypper update redis

3.2 临时措施

限制访问Redis服务的IP地址，使用防火墙策略减少潜在攻击面。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/redis/redis/security/advisories/GHSA-4q32-c38c-pwgq

https://nvd.nist.gov/vuln/detail/CVE-2025-48367