您现在的位置是：首页 > 文章详情

Redis hyperloglog 越界写入导致远程代码执行漏洞

日期：2025-07-08点击：5收藏

漏洞描述

Redis HyperLogLog 是一种概率性数据结构，它能以极小的、恒定的内存空间来高效地估算一个集合中不重复元素的数量（即基数）。

受影响版本中，在解析 HyperLogLog 稀疏编码数据时，由于未能充分验证其操作码中的运行长度（run-length），攻击者可构造恶意数据导致累加索引时发生整数溢出，进而绕过边界检查，最终引发堆内存的越界写入。

修复版本通过增加一个 valid 标志位，在检测到索引计算即将溢出时立即将数据标记为无效并中断处理循环，从而阻止了后续的越界写入操作。

漏洞名称	Redis hyperloglog 越界写入导致远程代码执行漏洞
漏洞类型	整数溢出导致缓冲区溢出
发现时间	2025-07-07
漏洞影响广度	-
MPS编号	MPS-8hrg-zfb6
CVE编号	CVE-2025-32023
CNVD编号	-

redis@[7.2.0, 7.2.10)

redis@[7.4.0, 7.4.5)

redis@[2.8, 6.2.19)

redis@[8.0.0, 8.0.3)

将组件 redis 升级至 6.2.19 及以上版本

将组件 redis 升级至 8.0.3 及以上版本

将组件 redis 升级至 7.2.10 及以上版本

将组件 redis 升级至 7.4.5 及以上版本

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。