CSIRT Toscana Redis: PoC pubblico per lo sfruttamento della CVE-2025-62507 (AL01/260119/CSIRT-ITA)
Data:
19 Gennaio 2026
Impatto Sistemico
Alto (67.69)
Sintesi
Disponibile un Proof of Concept (PoC) per la CVE-2025-62507 – presente in Redis, noto DBMS open source di tipo NoSQL. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato remoto di eseguire codice arbitrario sui sistemi interessati.
Tipologia
- Remote Code Execution
Descrizione e potenziali impatti
È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2025-62507 – di tipo “Remote Code Execution” e con score CVSS v3.x pari a 8.8 – presente in Redis, DBMS open source di tipo NoSQL.
In dettaglio, la vulnerabilità risiede nel nuovo comando XACKDEL, responsabile dell’analisi e dell’elaborazione dell’elenco di ID flusso forniti dall’utente e introdotto per semplificare e ottimizzare la pulizia del flusso. XACKDEL combina la conferma dei messaggi (come XACK) e la loro eliminazione da un flusso (come XDEL) in un’unica operazione atomica. XACKDEL accetta un numero variabile di ID messaggio. Per elaborarli in modo efficiente, la funzione analizza ogni ID fornito dall’utente e lo memorizza in un array di dimensione fissa (static_ids) allocato nello stack. Ogni ID di flusso analizzato è rappresentato internamente come una struttura streamID composta da due interi a 64 bit. Il problema principale è che il codice non verifica che il numero di ID forniti dal client rientri nei limiti di questo array allocato nello stack. Di conseguenza, quando vengono forniti più ID di quanti l’array possa contenere, la funzione continua a scrivere oltre la fine del buffer. Ciò si traduce in un classico stack buffer overflow, il quale non si limita a corrompere i dati adiacenti, ma consentirebbe ad un malintezionato di sovrascrivere i contenuti sensibili dello stack, ottenendo con successo l’esecuzione di codice remoto. È inoltre importante notare che, per impostazione predefinita, Redis non impone alcuna autenticazione, rendendo questa un’esecuzione di codice remoto non autenticata.
Prodotti e/o versioni affette
- Redis, versione 8.2.0 e successive
Azioni di mitigazione
Ove non provveduto, si raccomanda di seguire le indicazioni riportate dal vendor presenti nella sezione Riferimenti.
Riferimenti
- https://github.com/redis/redis/security/advisories/GHSA-jhjx-x4cf-4vm8
- https://trust.redis.io/?tcuUid=c13c412b-6552-4d18-a241-1e3e02bc8e4f
- https://jfrog.com/blog/exploiting-remote-code-execution-in-redis/
CVE
| CVE-ID |
|---|
| CVE-2025-62507 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 19-01-2026 | 19/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
19 Gennaio 2026, 12:30