Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07307

Опубликовано: 16 апр. 2025
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость программы для пула соединения в PostgreSQL PgBouncer связана с недостатками процедуры аутентификации. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к приложению

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»

Наименование ПО

Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
PgBouncer

Версия ПО

11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
1.8 (Astra Linux Special Edition)
до 1.24.1 (PgBouncer)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для PgBouncer:
https://www.pgbouncer.org/changelog.html#pgbouncer-124x
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-2291
Для ОС Astra Linux:
обновить пакет pgbouncer до 1.9.0-2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Для ОС Astra Linux:
обновить пакет pgbouncer до 1.9.0-2.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для ОС Astra Linux:
обновить пакет pgbouncer до 1.18.0-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-1113SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.00302
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250619-05

CVSS3: 8.1
redos
10 месяцев назад

Уязвимость pgbouncer

ubuntu логотип

CVE-2025-2291

CVSS3: 8.1
ubuntu
12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

nvd логотип

CVE-2025-2291

CVSS3: 8.1
nvd
12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

msrc логотип

CVE-2025-2291

CVSS3: 8.1
msrc
около 1 месяца назад

PgBouncer default auth_query does not take Postgres password expiry into account

debian логотип

CVE-2025-2291

CVSS3: 8.1
debian
12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not ta ...

EPSS

Процентиль: 53%
0.00302
Низкий

8.1 High

CVSS3

7.6 High

CVSS2