Описание
Уязвимость pgbouncer
Наименование уязвимого пакета
pgbouncer
Пакет обновления
pgbouncer-0:1.24.1-1.el7.x86_64
Версия уязвимого пакета младше
1.24.1-1
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета PgBouncer или Установить обновление для пакета(ов) PgBouncer
Версия ОС
7.3
Архитектура ОС
x86_64
Дата публикации бюллетеня
19.06.2025
CVE-2025-2291
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость программы для пула соединения в PostgreSQL PgBouncer связана с тем, что пароль может быть использован после истечения срока его действия, поскольку auth_query не учитывает значение Postgre's VALID UNTIL. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к приложению
8.1 High
CVSS3
7.6 High
CVSS2