关键漏洞信息 漏洞概述 标题: [pgpool] Unauthenticated access to postgres through pgpool 严重性: Critical (CVSS v4: 9.4/10) CVE ID: CVE-2025-22248 影响的包和版本 bitnami/pgpool (Docker): - 受影响版本: - 修复版本: 4.6.0-debian-12-r8 bitnami/postgres-ha (Helm): - 受影响版本: - 修复版本: 16.0.0 描述 摘要: - bitnami/pgpool Docker镜像和bitnami/postgres-ha k8s图表在默认配置下,包含一个'repmgr'用户,允许未认证访问集群内的数据库。 详细信息: - PGPOOL_SR_CHECK_USER是Pgpool用于执行流复制检查的用户,不应处于信任级别。这允许使用repmgr用户无认证登录到PostgreSQL数据库。如果Pgpool暴露在外,潜在攻击者可以利用此用户访问服务。此问题也存在于bitnami/postgres-ha Kubernetes Helm图表中。 解决方案 推荐操作: - 升级Pgpool II至4.6.0-1(容器镜像4.6.0-debian-12-r8)或更新版本。 - 对于Helm图表,升级至16.0.0或更新版本。 CVSS v4 基础指标 可利用性指标: - 攻击向量: Adjacent - 攻击复杂度: Low - 攻击需求: None - 所需权限: None - 用户交互: None 脆弱系统影响指标: - 机密性: High - 完整性: High - 可用性: High 后续系统影响指标: - 机密性: High - 完整性: High - 可用性: High