Vulnerabilidad en Redis (CVE-2025-32023)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/07/2025
Última modificación:
05/09/2025
Descripción
Redis es una base de datos en memoria de código abierto que persiste en el disco. Desde la versión 2.8 hasta versiones anteriores a la 8.0.3, 7.4.5, 7.2.10 y 6.2.19, un usuario autenticado podía usar una cadena especialmente manipulada para activar una escritura fuera de los límites de pila/montón en operaciones de hyperloglog, lo que podría provocar la ejecución remota de código. Es probable que el error afecte a todas las versiones de Redis con operaciones de hyperloglog implementadas. Esta vulnerabilidad se ha corregido en las versiones 8.0.3, 7.4.5, 7.2.10 y 6.2.19. Otra solución alternativa para mitigar el problema sin parchear el ejecutable redis-server es impedir que los usuarios ejecuten operaciones de hyperloglog. Esto se puede lograr mediante ACL para restringir los comandos HLL.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 6.2.19 (excluyendo) |
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 7.2.0 (incluyendo) | 7.2.10 (excluyendo) |
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 7.4.0 (incluyendo) | 7.4.5 (excluyendo) |
| cpe:2.3:a:redis:redis:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/redis/redis/commit/50188747cbfe43528d2719399a2a3c9599169445
- https://github.com/redis/redis/releases/tag/6.2.19
- https://github.com/redis/redis/releases/tag/7.2.10
- https://github.com/redis/redis/releases/tag/7.4.5
- https://github.com/redis/redis/releases/tag/8.0.3
- https://github.com/redis/redis/security/advisories/GHSA-rp2m-q4j6-gr43