Se lanzaron actualizaciones de seguridad para abordar una vulnerabilidad de severidad alta en PgBouncer, un agrupador de conexiones liviano para PostgreSQL diseñado para administrar de manera eficiente las conexiones de bases de datos.
Productos afectados
- PgBouncer, versiones anteriores a 1.24.1
Impacto
La vulnerabilidad de severidad alta se ha identificado como:
CVE-2024-2291: con una puntuación de 8.1 en CVSS v3.1. Esta vulnerabilidad podría permitir a un actor malicioso eludir la caducidad de contraseñas de Postgres. Dicha caducidad de contraseñas se habría configurado en Postgres mediante la cláusula VALID UNTIL. Este problema de seguridad afecta a todas las versiones de PgBouncer anteriores a 1.24.1.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1
- https://www.postgresql.org/about/news/pgbouncer-1241-released-fixes-cve-2025-2291-3059/
- https://www.cve.org/CVERecord?id=CVE-2025-2291