Redis广泛用于缓存、消息中间件和实时分析的内存数据存储系统，近日发布安全通告，披露了一个拒绝服务（DoS）漏洞，编号为CVE-2025-48367，CVSS v4评分为7.0（高危）。该漏洞源于认证用户对Redis多批量命令协议的滥用，可能影响服务可用性。

该漏洞由安全研究员 Gabriele Digregorio 负责任地披露，并由 Redis 开发团队验证。漏洞允许已认证客户端滥用命令协议行为，进而触发异常处理逻辑，导致服务性能下降或宕机。虽然该问题不违反Redis核心安全模型（即：认证用户被视为可信），但确实可被恶意利用造成可用性影响。

“该问题依赖于对Redis命令网络协议的滥用，前提是用户已通过身份认证。因此，它未违反Redis安全模型……但仍可能被用于破坏服务可用性。”——官方通告指出。

令人关注的是，Redis团队决定不通过代码修复直接解决该问题，理由是此举可能会影响正常功能或降低系统性能。

“我们的评估认为，若为防御此类滥用修改Redis核心协议，将对合法功能和整体性能造成负面影响。”
“因此，我们不计划发布针对该漏洞的直接修复补丁，而是通过安全公告提醒用户加强防御。”

尽管如此，Redis还是在以下四个活跃分支版本中发布了更新补丁，包含稳定性改进，并可能引入间接缓解措施。

鉴于该漏洞的本质，Redis 强烈建议用户从访问控制和身份管理层面加强防护措施：

• 启用强身份认证机制，避免将Redis暴露在不受信任的网络中；

• 结合企业身份管理系统统一接入Redis，提升安全可控性；

• 全面回顾并实施Redis官方安全最佳实践，防范已认证用户的滥用行为。