PostgreSQL JDBC 团队已发布 42.7.7 版本,以修复 CVE-2025-49146。当 PostgreSQL JDBC 驱动程序的通道绑定配置为 required(默认值为 prefer)时,驱动程序会错误地允许使用不支持通道绑定的认证方式(如 password、MD5、GSS 或 SSPI 认证)继续建立连接。这可能导致中间人攻击者拦截用户认为受通道绑定要求保护的连接。
详情请参阅安全公告。感谢 George MacKerron 发现并报告此问题。