BDU:2025-07307

Опубликовано: 16 апр. 2025

Источник: fstec

CVSS3: 8.1

CVSS2: 7.6

EPSS Низкий

Описание

Уязвимость программы для пула соединения в PostgreSQL PgBouncer связана с недостатками процедуры аутентификации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к приложению

Вендор

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Наименование ПО

Debian GNU/Linux

РЕД ОС

PgBouncer

Версия ПО

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

до 1.24.1 (PgBouncer)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:

Для PgBouncer:

https://www.pgbouncer.org/changelog.html#pgbouncer-124x

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-2291

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-2291
CVE

EPSS

Процентиль: 8%

0.00035

Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

CVE-2025-2291

CVSS3: 8.1

ubuntu

4 месяца назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

CVE-2025-2291

CVSS3: 8.1

nvd

4 месяца назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

CVE-2025-2291

CVSS3: 8.1

msrc

4 месяца назад

Описание отсутствует

CVE-2025-2291

CVSS3: 8.1

debian

4 месяца назад

Password can be used past expiry in PgBouncer due to auth_query not ta ...

ROS-20250619-05

CVSS3: 8.1

redos

2 месяца назад

Уязвимость pgbouncer

EPSS

Процентиль: 8%

0.00035

Низкий

8.1 High

CVSS3

7.6 High

CVSS2