ГлавнаяБаза уязвимостей БДУ → BDU:2025-15208
7.1высокая

BDU:2025-15208 (CVE-2025-12819)

Уязвимость программного обеспечения для пула соединения в PostgreSQL PgBouncer, связанная с ненадежным путем поиска, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2025-12-05
Описание

Уязвимость программного обеспечения для пула соединения в PostgreSQL PgBouncer связана с ненадежным путем поиска. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)PgBouncer (до 1.25.1)РЕД ОС (8.0)
Способ устранения

Компенсирующие меры:
1. В настройках следующих параметров конфигурации необходимо:
• в параметре track_extra_parameters не должно быть указано значение search_path (не является настройкой по умолчанию);
• в параметре auth_user не должно быть указано имя привилегированного пользователя, от имени которого может быть выполнен произвольный код (не является настройкой по умолчанию);
• в параметре auth_query должны быть указаны полные имена объектов.;
2. Перед использованием любых внешних данных (переменных, параметров) для построения пути их необходимо очищать и проверять;
3. Использовать мониторинг журналов аудита на предмет подозрительной активности;
4. используйте межсетевые экраны для ограничения доступа к портам pgbouncer (обычно 6432) и PostgreSQL (обычно 5432). Доступ должен быть разрешен только с доверенных IP-адресов (например, с серверов приложений);
5. При наличии IDS/IPS решения в инфраструктуре, обеспечить мониторинг сетевого трафика, идущего к pgbouncer и от него, на предмет аномалий и потенциальных атак (например, попыток SQL-инъекций или перебора паролей).
Для pgbouncer:
https://www.pgbouncer.org/changelog.html#pgbouncer-125x
Для ОС Astra Linux:
обновить пакет pgbouncer до 1.18.0-1.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgbouncer-cve-2025-12819-7.3/?sphrase_id=1455094

Оценка CVSS
Балл7.1 — высокая опасность
Источники и патчи
https://www.pgbouncer.org/changelog.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2025-12819https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgbouncer-cve-2025-12819-7.3/?sphrase_id=1455094
Проверьте безопасность своего сайта и почты → Полная проверка домена