CSIRT Toscana Vulnerabilità in PgBouncer (AL01/250422/CSIRT-ITA)
Data:
22 Aprile 2025 10:22
Impatto Sistemico
Medio (64.23)
Sintesi
Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” in PgBouncer, connection pooler leggero per PostgreSQL, progettato per gestire efficientemente le connessioni al database. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malevolo di bypassare le restrizioni di sicurezza relative alla scadenza delle password in PostgreSQL.
Tipologia
Authentication Bypass
Prodotti e/o versioni affette
PgBouncer, versioni precedenti alla 1.24.1
Azioni di mitigazione
Si consiglia di aggiornare i singoli prodotti seguendo le indicazioni riportate nel bollettino di sicurezza disponibile nella sezione Riferimenti.
Riferimenti
- https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1
- https://www.postgresql.org/about/news/pgbouncer-1241-released-fixes-cve-2025-2291-3059/
CVE
| CVE-ID |
|---|
| CVE-2025-2291 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 22-04-2025 | 22/04/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link