RedisのXACKDEL実装に深刻な脆弱性(CVE-2025-62507)

セキュリティニュース

投稿日時: 更新日時:

RedisのXACKDEL実装に深刻な脆弱性(CVE-2025-62507)

2025年11月、Redis 8.2以降に、ストリーム関連のコマンドであるXACKDELの実装不備が原因の脆弱性(CVE-2025-62507)が見つかりました。攻撃者が細工した大量のIDをXACKDELに渡すとスタック領域が上書きされ、条件が揃うとRedisプロセス権限で任意コード実行に至る可能性があります。

影響を受けるバージョンと修正状況

影響を受けるのは8.2.0以上のすべてのバージョンです。

修正は8.2.3で提供されており、ベンダの勧告でも最優先での更新が求められています。運用現場では、パッケージ管理基盤やコンテナベースの配布元における8.2.3の入手可否を確認し、ステージングを経たうえで本番へ段階的にロールアウトする流れが望ましいです。

原因(なぜ起きたか)

XACKDELの内部実装が、渡されたストリームIDの数が内部定数(STREAMID_STATIC_VECTOR_LEN)を超えるケースを正しく処理できていませんでした。本来は動的な再割り当てで領域を拡張すべきところをスキップしてしまい、固定長のスタックバッファに過剰なデータを書き込む経路が残っていました。結果として、攻撃者が極端に長いIDリストを与えるだけでオーバーフローが引き起こされ、スタック上の領域が破壊されることでクラッシュや任意コード実行の足掛かりになります。

悪用の成立条件とリスクの実態

攻撃者はRedisに到達できるネットワーク経路を持ち、かつCLIやAPI相当の呼び出しでXACKDELへ大量のIDを渡す能力があれば、脆弱性の引き金を引けます。直ちにRCEになるかどうかは環境依存ですが、スタック領域の破壊は予測不能な挙動を伴い、可用性だけでなく機密性と完全性の両面で重大な影響が生じ得ます。クラッシュののちにプロセス再起動が自動で行われる構成では、繰り返しの攻撃によるサービス妨害も現実的なリスクになります。

AIが脆弱性発見

この脆弱性はGoogle DeepMindとProject Zeroが共同で開発した自動脆弱性発見エージェント「Google Big Sleep」によって報告されています。

Google Big Sleep は、Google DeepMind と Project Zero によって開発された AI エージェントであり、ソフトウェアの未知のセキュリティ脆弱性を見つけて報告します。