Redis 远程代码执行漏洞
漏洞信息
漏洞名称: Redis 远程代码执行漏洞
漏洞编号:
- CVE: CVE-2025-32023
漏洞类型: 命令执行
漏洞等级: 严重
漏洞描述: Redis是一个开源的内存数据结构存储系统,广泛用作数据库、缓存和消息代理。它支持多种数据结构,如字符串、哈希、列表、集合等,常用于高性能应用场景中。由于其高性能和灵活性,Redis在互联网公司和企业中非常受欢迎。
该漏洞属于远程代码执行(RCE)类型,攻击者可以通过MODULE LOAD命令加载恶意模块,从而在Redis服务器上执行任意代码。漏洞的根本原因在于Redis在加载模块时未对模块来源进行严格的验证,导致攻击者可以上传并加载恶意共享对象(.so)文件。
此漏洞的影响极为严重,因为攻击者可以在无需认证的情况下,完全控制暴露在互联网上的Redis服务器。这意味着攻击者可以执行任意命令,窃取或篡改数据,甚至利用该服务器作为跳板攻击内网其他系统。由于Redis通常用于处理敏感数据,如用户会话、缓存数据等,此漏洞可能导致大规模的数据泄露和服务中断。值得注意的是,该漏洞的利用条件较为宽松,只要Redis服务器暴露在互联网且未设置认证(如requirepass或ACLs),攻击者即可利用。因此,所有运行Redis 7.2.3及以下版本的用户都应立即采取缓解措施。
产品厂商: Redis
产品名称: Redis
影响版本: version < 7.2.4
来源: https://github.com/B1ack4sh/Blackash-CVE-2025-32023
类型: CVE-2025:github search
仓库文件
- CVE-2025-32023.py
- README.md
- solver-CVE-2025-32023.py
来源概述
CVE-2025-32023 - Redis Remote Code Execution (RCE) 🚨
🧠 Overview:
A critical RCE vulnerability affecting Redis (< 7.2.4), where attackers can load malicious modules using the MODULE LOAD command.
🕳️ Vulnerability Type:
Remote Code Execution (RCE)
💥 Impact:
An unauthenticated attacker can execute arbitrary code and gain full control of the Redis server.
🔓 Requirements for Exploitation:
- Redis is exposed to the internet 🌍
- No authentication is set (no
requirepassor ACLs) ❌ - Attacker has write access to Redis 📝
🛠️ Attack Steps:
- Upload malicious
.so(shared object) file to the Redis server. - Use the
MODULE LOADcommand to load the module. - Achieve remote code execution 💣
🧪 Tested On:
Redis 7.2.3 and below
🚫 Not Affected:
Redis 7.2.4 and above
🛡️ Mitigation Steps:
- ✅ Upgrade to Redis 7.2.4+
- 🔐 Use ACLs or set a strong
requirepass - 🧱 Block external access via firewall
- 📛 Disable
MODULE LOADif not needed
⚠️ Security Tip:
Never expose Redis directly to the internet without proper authentication, ACLs, and network restrictions. Redis is meant to be internal.
🧩 CVSS Score: 9.8 (Critical)
🧬 Discovered By: Security researchers in early 2025.