GHSA-hq9p-pm7w-8p54 · 深刻度: high · エコシステム: maven — pgjdbc Client Allows Fallback to Insecure Authentication Despite channelBinding=require Configuration
pgjdbc is an open source postgresql JDBC Driver. From 42.7.4 and until 42.7.7, when the PostgreSQL JDBC driver is configured with channel binding set to required (default value is prefer), the driver would incorrectly allow connections to proceed with authentication methods that do not support channel binding (such as password, MD5, GSS, or SSPI authentication). This could allow a man-in-the-middle attacker to intercept connections that users believed were protected by channel binding requirements. This vulnerability is fixed in 42.7.7.
総合評価: CVE-2025-49146 は中リスク(45.9/100)。CVSS 深刻度は高。悪用される可能性が高い(EPSS 0.46%、36 パーセンタイル) 推奨対応: 影響資産を整理し、修補計画に組み込んでください。
リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。
EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。
| # | 日付 | 旧 EPSS スコア | 新 EPSS スコア | Δ(新 − 旧) |
|---|---|---|---|---|
| 1 | 2026-06-15 | 0.01% | 0.46% | +0.45% |
| 2 | 2025-11-21 | 0.07% | 0.01% | -0.06% |
| 3 | 2025-11-18 | — | 0.07% | — |
EPSS の全履歴 (全 4 件)
この CVE の CVSS 指標。
| ベーススコア | バージョン | 深刻度 | ベクトル | 悪用しやすさ | 影響 | スコアの出典 |
|---|---|---|---|---|---|---|
| 8.2 | 3.1 | HIGH |
|
3.9 | 4.2 | [email protected] |
| 5.9 | 3.1 | MEDIUM |
|
2.2 | 3.6 | [email protected] |
GHSA-hq9p-pm7w-8p54 · 深刻度: high · エコシステム: maven — pgjdbc Client Allows Fallback to Insecure Authentication Despite channelBinding=require Configuration
| vendor | priority | summary | link |
|---|---|---|---|
alpine
|
— | CVE-2025-49146: 1 source package rows (java-postgresql-jdbc); 1 state rows across 1 repos (edge-community); fixed 1, open 0. | https://security.alpinelinux.org/vuln/CVE-2025-49146 |
debian
|
unimportant | CVE-2025-49146 unimportant priority: Debian including 1 source packages (libpgjava), 5 status rows across 5 suites (bookworm, bullseye, forky, sid, trixie): resolved 5. | https://security-tracker.debian.org/tracker/CVE-2025-49146 |
redhat
|
high | — | https://access.redhat.com/security/cve/CVE-2025-49146 |
suse
|
high | — | https://www.suse.com/security/cve/CVE-2025-49146/ |
ubuntu
|
medium | CVE-2025-49146 medium priority: Ubuntu including 1 source packages (libpgjava), 10 status rows across 10 suites (bionic, focal, jammy, noble, oracular, plucky, questing, trusty, upstream, xenial): needs-triage 8, ignored 2. | https://ubuntu.com/security/CVE-2025-49146 |
| ベンダー | 製品 | バージョン | 生の CPE |
|---|---|---|---|
| postgresql | postgresql_jdbc_driver | >= 42.7.4, < 42.7.7 | cpe:2.3:a:postgresql:postgresql_jdbc_driver:*:*:*:*:*:*:*:* |