漏洞描述
Redis是美国Redis公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。 Redis存在安全漏洞,该漏洞源于超日志操作可能导致堆栈或堆越界写入,可能导致远程代码执行。以下版本受到影响:2.8版本至8.0.3版本、7.4.5版本、7.2.10版本和6.2.19之前版本。
漏洞危害
越界访问漏洞可能导致以下危害:
修复方法
升级修复方案:
升级产品至8.0.3、7.2.10、7.4.5、6.2.19 或之后的版本,下载地址:https://github.com/redis/redis/releases
临时缓解措施:
使用 Redis ACL 限制 HyperLogLog 命令:通过配置访问控制列表(ACL),禁止用户执行 PFADD、PFCOUNT、PFMERGE 等 HLL 相关命令。
参考链接
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞披露
2025-07-08
漏洞信息更新
2025-07-09