CVE-2025-22248

Опубликовано: 13 мая 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

The bitnami/pgpool Docker image, and the bitnami/postgres-ha k8s chart, under default configurations, comes with an 'repmgr' user that allows unauthenticated access to the database inside the cluster. The PGPOOL_SR_CHECK_USER is the user that Pgpool itself uses to perform streaming replication checks against nodes, and should not be at trust level. This allows to log into a PostgreSQL database using the repgmr user without authentication. If Pgpool is exposed externally, a potential attacker could use this user to get access to the service. This is also present within the bitnami/postgres-ha Kubernetes Helm chart.

Ссылки

https://github.com/bitnami/charts/security/advisories/GHSA-mx38-x658-5fwj
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:broadcom:bitnami:*:*:*:*:*:postgresql:*:*

Версия до 16.0.0 (исключая)

cpe:2.3:a:broadcom:bitnami\/pgpool:*:*:*:*:*:docker:*:*

Версия до 4.6.0-1 (исключая)

EPSS

Процентиль: 24%

0.00082

Низкий

7.5 High

CVSS3

Дефекты

CWE-1188

Связанные уязвимости

BDU:2025-05675

CVSS3: 9.6

fstec

9 месяцев назад

Уязвимость программных средств балансировки и управления соединениями Pgpool-II и HAProxy для СУБД PostgreSQL, связанная с небезопасной инициализацией ресурса, позволяющая нарушителю получить несанкционированный доступ к базе данных