JFrog研究揭示Redis資料庫漏洞的遠端代碼執行威脅
JFrog最近發表了一篇關於Redis資料庫漏洞的分析,這項漏洞可能比最初預期的更嚴重,因為已經發現了一種遠端代碼執行(RCE)的利用方式。研究人員發現,Redis中存在的堆疊緩衝區溢出漏洞(CVE-2025-62507)可以通過運行XACKDEL命令並使用多個ID觸發,可能導致遠端代碼執行。
漏洞嚴重性和修補建議
此漏洞最初使用通用漏洞評分系統(CVSS)被評為8.8的嚴重性。然而,JFrog研究人員的發現強調了立即應用修補程式的重要性,該修補程式已在被廣泛使用的開源資料庫的8.3.2版中解決了此問題。JFrog的安全研究副總裁Shachar Menashe表示,如果無法立即升級Redis資料庫,網路安全團隊應確保部署防火牆以保護任何可能在生產環境中運行的舊版本Redis。
預防和未來威脅
截至目前,JFrog研究人員尚未發現任何實際的RCE利用範例,但由於研究已經公開,預計很快會有相關的利用出現。由於漏洞的嚴重性評分為8.8,一些組織可能未將修補程式的應用列為高優先級。Menashe指出,通常漏洞的嚴重性評分反映最壞情況,這導致許多安全團隊未按照CVSS評分建議優先修補。在CVE-2025-62507的情況下,考慮到RCE利用的可能性,評分並不夠高。
此外,隨著使用人工智慧(AI)編碼工具發現漏洞和逆向工程利用變得更加容易,網路安全團隊需要假設從漏洞披露到利用創建的時間現在可以以日甚至小時計算。歷史上,只有一小部分已知漏洞實際被利用,但在AI時代,這個比例可能會顯著增加。結果,應用安全團隊將面臨更大的挑戰。
每個組織都需要重新檢視其對自動應用修補程式的接受程度。許多組織傾向於在升級軟體之前測試修補程式以確保不會影響應用運行。然而,隨著網路攻擊對業務整體風險的增加,更多類型的修補程式應自動應用。潛在網路攻擊帶來的風險遠大於修補程式應用可能導致的停機成本。
未來,希望AI工具也能更早地發現和修復漏洞。在此期間,應用安全的最高成本仍然是持續警戒,尤其在網路攻擊的數量和複雜性不斷增加的時代。