PgBouncer 1.25.1 已发布。此版本修复了 CVE-2025-12819: 在此版本之前,未经认证的攻击者可以通过在 StartupMessage 中提供恶意的 search_path 参数,在认证过程中执行任意 SQL。同时满足以下所有配置条件的系统存在该漏洞:
track_extra_parameters 包含 search_path(非默认配置,通常仅在涉及 Citus 或 PostgreSQL 18 的环境中才会配置)auth_user 设置为非空字符串(非默认配置)auth_query 配置中未使用完全限定的对象名(默认配置,< 运算符未进行模式限定)此版本还修复了最近 1.25.0 版本中引入的大量 Bug 和问题。
详情请参阅更新日志。
下载地址: pgbouncer-1.25.1.tar.gz (sha256)