Se ha publicado PgBouncer 1.25.1. Esta versión corrige la vulnerabilidad CVE-2025-12819: Antes de esta versión, un atacante no autenticado podía ejecutar SQL arbitrario durante el proceso de autenticación proporcionando un parámetro search_path malicioso en el StartupMessage. La vulnerabilidad afecta exclusivamente a sistemas en los que concurren TODAS las siguientes configuraciones:

1. track_extra_parameters incluye search_path (configuración no predeterminada; normalmente presente solo en entornos con Citus o PostgreSQL 18)
2. auth_user está configurado con una cadena no vacía (configuración no predeterminada)
3. auth_query está configurado sin nombres de objetos totalmente calificados (configuración predeterminada; el operador < no es específico del esquema).

Esta versión también corrige varios errores y problemas introducidos recientemente en la versión 1.25.0.

Más información en el changelog.

Descarga: pgbouncer-1.25.1.tar.gz (sha256)