FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

2025年7月7日 - 作为广泛应用于缓存、消息代理和实时分析的内存数据库，Redis近日发布安全公告披露一个拒绝服务（DoS）漏洞（编号CVE-2025-48367，CVSSv4评分7.0）。该漏洞源于认证用户对Redis多批量协议命令的滥用，可能影响服务可用性。

漏洞技术细节

该漏洞由安全研究员Gabriele Digregorio通过负责任披露流程提交，并经Redis开发团队确认。攻击者可在完成认证后，通过特殊构造的命令协议触发异常行为，最终导致服务中断。虽然该漏洞并未突破Redis的核心安全假设（即认证用户应被信任），但仍可能被滥用以降低服务器性能或引发服务瘫痪。

公告特别指出："该问题源于对Redis内置命令网络协议的滥用，需要攻击者完成身份认证。因此它并未违反Redis安全模型...但仍可能对服务可用性造成非预期影响。"

修复策略评估

值得注意的是，Redis团队决定不通过代码修复直接解决该问题，主要顾虑是可能影响正常功能或降低性能。开发团队表示："经评估，实施应用程序变更来预防此类情况将对Redis的合法功能及性能产生负面影响。因此我们暂不计划发布修复补丁，转而选择发布本安全公告。"

尽管如此，官方仍为四个活跃版本分支发布了更新，包含常规稳定性改进及可能的缓解措施：

• 8.0.3版本 - 更新说明
• 7.4.5版本 - 更新说明
• 7.2.10版本 - 更新说明
• 6.2.19版本 - 更新说明

安全防护建议

鉴于漏洞特性，Redis建议从以下方面强化访问控制：

• 实施强认证机制，避免将Redis实例暴露于不可信网络
• 将Redis访问与企业身份提供商集成以增强控制
• 参照Redis安全最佳实践加固部署环境，防范认证滥用风险

参考来源：

Redis DoS Flaw (CVE-2025-48367): Authenticated Clients Can Disrupt Service

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）