Synthèse
Mises à jour de sécurité publiées pour corriger une vulnérabilité de gravité « élevée » dans PgBouncer, un pooler de connexions léger pour PostgreSQL conçu pour gérer efficacement les connexions aux bases de données. Cette vulnérabilité, si elle est exploitée, pourrait permettre à un utilisateur malveillant de contourner les restrictions de sécurité concernant l’expiration des mots de passe dans PostgreSQL.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : Moyen (64,23)
Typologie
- Authentication Bypass
Produits et/ou versions concernés
PgBouncer, versions antérieures à 1.24.1
Mesures d’atténuation
Il est recommandé de mettre à jour les produits individuels en suivant les instructions du bulletin de sécurité disponible dans la section Références.
Références
https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1
https://www.postgresql.org/about/news/pgbouncer-1241-released-fixes-cve-2025-2291-3059/
1Cette estimation est réalisée en tenant compte de plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
