2025年11月29日,Apache软件基金会针对兼容Redis协议的分布式键值NoSQL数据库Apache Kvrocks发布重要安全公告。该产品作为存储海量数据的高性能磁盘型Redis替代方案,其漏洞对云原生环境中的数据完整性与机密性构成严重威胁。
关键漏洞详情
CVE-2025-59790 (高危评级)
该漏洞属于"权限管理不当"类型,攻击者可通过RESET命令使非特权用户获得完整管理员权限。在受影响版本(v2.9.0至v2.13.0)中,拥有基础访问权限的攻击者可利用此命令绕过访问控制,实现配置篡改、敏感数据窃取或服务中断等操作。
CVE-2025-59792 (重要评级)
该漏洞影响更广泛版本(v1.0.0至v2.13.0),涉及调试命令MONITOR。该命令本应回传服务器处理的所有指令流,但漏洞会导致其意外泄露其他客户端认证时发送的明文凭证(如密码)。非管理员用户通过监控指令流即可截获这些凭证,进而实施越权访问。
修复方案
Apache Kvrocks社区已发布2.14.0版本修复上述漏洞。建议所有用户立即升级至该版本。