2025/05/14 SecurityOnline — Bitnami Pgpool-II Docker image および bitnami/postgres-ha Kubernetes Helm chart に存在する、深刻なセキュリティ脆弱性が確認された。この脆弱性は CVE-2025-22248 として追跡されており、CVSS v4 スコアは 9.4 と評価されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、PostgreSQL データベースへアクセスを手にするようだ。
Bitnami は、「bitnami/pgpool Docker image および bitnami/postgres-ha Kubernetes chart のデフォルト・コンフィグには、認証を必要とすることなく、クラスタ内のデータベースにアクセス可能な、“repmgr” ユーザーが取り込まれている」と公表している。
Pgpool-II は、PostgreSQL プロキシとして機能し、接続プーリング/負荷分散/自動フェイルオーバー/データベースノード間のレプリケーションなどを提供している。この脆弱性は、ストリーミング・レプリケーションを確認のために、Pgpool が使用するユーザー・アカウント PGPOOL_SR_CHECK_USER (デフォルトでは repmgr)に起因する。
残念なことに、影響を受けるバージョンでは、この “repmgr” ユーザーが信頼レベルに基づく認証で設定されており、パスワードなしでログイン可能な状態となっている。そのため、Pgpool-II インスタンスが外部ネットワークに公開されている場合には、この脆弱性を悪用する攻撃者に対して、PostgreSQL データベースへの不正アクセスが許される可能性がある。
アドバイザリでは、「それにより、認証を必要とすることなく、repmgr ユーザーを用いて PostgreSQL データベースへのログインが可能となる。そして、Pgpool が外部に公開されている場合には、リモートの攻撃者が、このユーザーを悪用してサービスへのアクセスを手にする可能性がある」と説明されている。
この脆弱性の影響を受けるバージョンは、以下の通りである:
- Bitnami Pgpool-II 4.6.0-1 未満 (container image 4.6.0-debian-12-r8 含む)
- Bitnami PostgreSQL HA Helm chart 16.0.0 未満
ユーザーに対して強く推奨されるのは、以下の対応を速やかに実施することである:
- Pgpool-II 4.6.0-1 以降にアップグレードする
- PostgreSQL HA Helm chart 16.0.0 以降にアップグレードする
ミスコンフィグによろいデフォルトで取り込まれている repmgr ユーザーを介して、PostgreSQL への不正アクセスが可能になってしまうようです。Bitnami を ご利用のチームは、ご注意ください。よろしければ、PostgreSQL で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.