CVE-2025-2291

Опубликовано: 16 апр. 2025

Источник: nvd

CVSS3: 8.1

CVSS3: 9.8

EPSS Низкий

Описание

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

Ссылки

https://www.pgbouncer.org/changelog.html#pgbouncer-124x
Release Notes
https://lists.debian.org/debian-lts-announce/2025/05/msg00032.html
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:pgbouncer:pgbouncer:*:*:*:*:*:*:*:*

Версия до 1.24.1 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*

EPSS

Процентиль: 53%

0.00302

Низкий

8.1 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-324

Связанные уязвимости

CVE-2025-2291

CVSS3: 8.1

ubuntu

12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

CVE-2025-2291

CVSS3: 8.1

msrc

около 1 месяца назад

PgBouncer default auth_query does not take Postgres password expiry into account

CVE-2025-2291

CVSS3: 8.1

debian

12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not ta ...

GHSA-qj9w-64mv-p2fw

CVSS3: 8.1

github

12 месяцев назад

Password can be used past expiry in PgBouncer due to auth_query not taking into account Postgres its VALID UNTIL value, which allows an attacker to log in with an already expired password

BDU:2025-07307

CVSS3: 8.1

fstec

12 месяцев назад

Уязвимость программы для пула соединения в PostgreSQL PgBouncer, связанная с недостатками процедуры аутентификации, позволяющая нарушителю получить несанкционированный доступ к приложению

EPSS

Процентиль: 53%

0.00302

Низкий

8.1 High

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-324