Vulnerabilità in PgBouncer (AL02/251205/CSIRT-ITA)

Data:
5 Dicembre 2025

Impatto Sistemico

Medio (63.46)

Sintesi

Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “alta” in PgBouncer, connection pooler leggero per PostgreSQL, progettato per gestire efficientemente le connessioni al database. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malevolo non autenticato il bypass dei meccanismi di sicurezza sui sistemi interessati.

Tipologia

Security Restrictions Bypass

Prodotti e/o versioni affette

PgBouncer, versioni precedenti alla 1.25.1

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nel relativo bollettino di sicurezza.

Azioni di mitigazione

Si consiglia di aggiornare i singoli prodotti seguendo le indicazioni riportate nel bollettino di sicurezza disponibile nella sezione Riferimenti.

Riferimenti

https://www.pgbouncer.org/changelog.html#pgbouncer-125x

CVE

CVE-ID
CVE-2025-12819

Change log

Versione	Note	Data
1.0	Pubblicato il 05-12-2025	05/12/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

5 Dicembre 2025, 11:11

CSIRT Toscana

CSIRT Toscana