酌情处置 | Redis hyperloglog 命令远程代码执行漏洞利用条件较多
原文链接: https://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247507834&idx=1&sn=cb2a5fffe56db189abdb84f8cf483df4
酌情处置 | Redis hyperloglog 命令远程代码执行漏洞利用条件较多
原创 微步情报局 微步在线研究响应中心 2025-07-09 07:40
漏洞概况
Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。
Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持网络、可基于内存、分布式、可选持久性的键值对存储数据库。
微步情
报局获取到Redis
hyperloglog 命令远
程代码执行漏洞(
CVE-2025-32023
)
情报,
经过认证的攻击者
可以使用精心构造的字符串触发hyperloglog命令中的整数溢出,导致越界写,
从而执行任意代码
。
该漏洞需要身份认证,且限制条件较多,用户可根据自身业务情况酌情处置。
漏洞处置优先级(VPT)
综合处置优先级:中
|
基本信息 |
微步编号 |
XVE-2025-13001 |
|
|
CVE-2025-32023 |
|
|
|
|
|
|
利用条件评估 |
利用漏洞的网络条件 |
|
|
是否需要绕过安全机制 |
不需要 | |
|
对被攻击系统的要求 |
|
|
|
利用漏洞的权限要求 |
需要权限 | |
|
是否需要受害者配合 |
否 | |
|
利用情报 |
POC是否公开 |
|
| 已知利用行为 |
|
漏洞影响范围
|
产品名称 |
Redis|Redis |
|
受影响版本 |
2.8<=version<6.2.19, 7.2.0<=version<7.2.10, 7.4.0<=version<7.4.5, 8.0.0<=version<8.0.3 |
|
有无修复补丁 |
有 |
漏洞复现
修复方案
官方修复方案:
官方已更新版本修复漏洞,请根据版本访问对应的链接进行更新
https://github.com/redis/redis/releases/tag/8.0.3
https://github.com/redis/redis/releases/tag/7.4.5
https://github.com/redis/redis/releases/tag/7.2.10
https://github.com/redis/redis/releases/tag/6.2.19
临时缓解措施:
– 在不影响业务的情况下,通过使用
ACL来限制HLL命令,阻止用户执行hyperloglog操作
-
确保Redis配置了身份验证和访问控制
-
END –
//
微步漏洞情报订阅服务
微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:
– 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;
-
可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;
-
提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;
-
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新
。
扫码在线沟通
↓
↓↓
X漏洞奖励计划
“X漏洞奖励计划”是微步X情报社区推出的一款
针对未公开
漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。
活动详情:
https://x.threatbook.com/v5/vulReward