インメモリデータベース「Redis」に深刻な脆弱性 PoC公開済みのため要注意：セキュリティニュースアラート

Redisに深刻な脆弱性が見つかった。この脆弱性が攻撃者に悪用されるとリモートコード実行が可能となる。PoCやエクスプロイト手法が公開されているため要注意だ。迅速なアップデートが推奨される。

[後藤大地，有限会社オングス]

　Plaidが主催するセキュリティコンテスト「PlaidCTF」で、オープンソースのインメモリデータベース「Redis」に存在する深刻な脆弱（ぜいじゃく）性「CVE-2025-32023」に関するPoC（概念実証）およびエクスプロイト手法が公表された。この脆弱性を悪用すると、認証ユーザーが細工した文字列を通じて、Redisサーバでリモートから任意のコードを実行される可能性がある。

Redisに深刻な脆弱性　PoC公開済みのため要注意

　脆弱性のCVE情報は次の通りだ。

• CVE-2025-32023：　リモートコード実行（RCE）の脆弱性。Redisの「HyperLogLog」（HLL）機能における不備が脆弱性の根本原因とされている。HLLのスパースエンコーディングの反復処理において、ランレングスの加算によってインデックス変数がオーバーフローし、負の値となるケースが存在する。この結果、不正なデータに対し処理を実行すると、スタックまたはヒープ上のメモリ領域外に書き込みが発生する。共通脆弱性評価システム（CVSS）v3.1のスコアは7.0で、深刻度「重要」（High）と評価されている

　CVE-2025-32023の影響を受けるRedisのバージョンは2.8以降で、バージョン8.0.3、7.4.5、7.2.10、6.2.19で修正されている。

　公開されているPoCでは攻撃者がまず「jemalloc」ヒープ上のsds（Simple Dynamic String）オブジェクトのサイズフィールドを破壊し、過大な長さを持つと誤認させることで、Redisが誤ったヒープ範囲を読み書きする状態を作り出す。

　その後、「embstr」（EMBedded STRing）型のオブジェクトをメモリ上に大量に展開して対象のアドレス空間を占拠し、改ざん済みsdsを通じてヒープの内容をダンプ、埋め込まれたアドレス情報などをリークする。最終的に、偽のRedisモジュールオブジェクトを作成し、それをRedis内部のオブジェクトとして解放処理させることで、任意コードの実行に至る流れとなっている。

　PoCが公開されていることで、この脆弱性が攻撃者に悪用されるリスクが高まっている。Redis開発チームは既に修正済みのバージョンをリリースしており、影響を受ける可能性のあるユーザーや組織は、速やかなアップデートの実施が推奨される。