Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08113

Опубликовано: 06 июл. 2025
Источник: fstec
CVSS3: 7
CVSS2: 6
EPSS Низкий

Описание

Уязвимость сервера системы управления базами данных (СУБД) Redis связана с целочисленным переполнением в буфере при выполнении команд, использующих алгоритм HyperLogLog. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем отправки специально сформированной HLL-команды

Вендор

Redis Labs

Наименование ПО

Redis
Redis Server

Версия ПО

- (Redis)
до 2.8 включительно (Redis Server)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение возможности выполнения HLL-команд;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 19%
0.00062
Низкий

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-32023

CVSS3: 7
ubuntu
около 1 месяца назад

Redis is an open source, in-memory database that persists on disk. From 2.8 to before 8.0.3, 7.4.5, 7.2.10, and 6.2.19, an authenticated user may use a specially crafted string to trigger a stack/heap out of bounds write on hyperloglog operations, potentially leading to remote code execution. The bug likely affects all Redis versions with hyperloglog operations implemented. This vulnerability is fixed in 8.0.3, 7.4.5, 7.2.10, and 6.2.19. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing hyperloglog operations. This can be done using ACL to restrict HLL commands.

redhat логотип

CVE-2025-32023

CVSS3: 8.8
redhat
около 1 месяца назад

Redis is an open source, in-memory database that persists on disk. From 2.8 to before 8.0.3, 7.4.5, 7.2.10, and 6.2.19, an authenticated user may use a specially crafted string to trigger a stack/heap out of bounds write on hyperloglog operations, potentially leading to remote code execution. The bug likely affects all Redis versions with hyperloglog operations implemented. This vulnerability is fixed in 8.0.3, 7.4.5, 7.2.10, and 6.2.19. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing hyperloglog operations. This can be done using ACL to restrict HLL commands.

nvd логотип

CVE-2025-32023

CVSS3: 7
nvd
около 1 месяца назад

Redis is an open source, in-memory database that persists on disk. From 2.8 to before 8.0.3, 7.4.5, 7.2.10, and 6.2.19, an authenticated user may use a specially crafted string to trigger a stack/heap out of bounds write on hyperloglog operations, potentially leading to remote code execution. The bug likely affects all Redis versions with hyperloglog operations implemented. This vulnerability is fixed in 8.0.3, 7.4.5, 7.2.10, and 6.2.19. An additional workaround to mitigate the problem without patching the redis-server executable is to prevent users from executing hyperloglog operations. This can be done using ACL to restrict HLL commands.

msrc логотип

CVE-2025-32023

CVSS3: 7
msrc
15 дней назад

Описание отсутствует

debian логотип

CVE-2025-32023

CVSS3: 7
debian
около 1 месяца назад

Redis is an open source, in-memory database that persists on disk. Fro ...

EPSS

Процентиль: 19%
0.00062
Низкий

7 High

CVSS3

6 Medium

CVSS2