Опубликованы корректирующие выпуски СУБД Redis (6.2.19, 7.2.10, 7.4.5, 8.0.3) и Valkey (8.0.4, 8.1.3), в которых устранены две уязвимости. Наиболее опасная уязвимость (CVE-2025-32023) потенциально может привести к удалённому выполнению кода на сервере из-за записи данных в область за пределами выделенного буфера. Для эксплуатации уязвимости атакующий должен иметь возможность отправки команд в СУБД.
Проблема вызвана ошибкой в реализации команд, использующих алгоритм HyperLogLog для приблизительного подсчёта уникальных элементов в множестве. Через передачу специально оформленной строки атакующий может инициировать переполнение буфера. Проблема затрагивает все версии Redis с поддержкой команд HLL. В качестве обходного пути защиты можно ограничить доступ пользователей к командам HLL через ACL.
Вторая уязвимость (CVE-2025-48367) может использоваться аутентифицированным пользователем для организации отказа в обслуживании или снижения производительности СУБД. Проблема вызвана некорректной обработкой ошибок при установке соединений.