Actualización de seguridad de PostgreSQL JDBC 42.7.12
Degradación silenciosa de la autenticación con vinculación de canal (CVE-2026-54291) Las conexiones configuradas con channelBinding=require pueden verse reducidas de forma silenciosa de SCRAM-SHA-256-PLUS (que incorpora vinculación de canal) a SCRAM-SHA-256 convencional (sin vinculación de canal)Esto elimina la protección frente a ataques de tipo intermediario (man-in-the-middle) que precisamente esta opción pretende proporcionar. Un atacante capaz de interceptar la conexión TLS puede forzar esta degradación mediante un certificado cuyo algoritmo de firma no permita generar el hash de vinculación de canal tls-server-end-point. Entre estos casos se incluyen algoritmos como Ed25519, Ed448 y algoritmos criptográficos poscuánticos.
Dos problemas se combinan en las versiones 42.7.4 a 42.7.11:
La dependencia incluida com.ongres.scram:scram-client (versiones 3.1 y 3.2) devuelve un array de bytes vacío en lugar de fallar cuando no puede calcular el hash de vinculación asociado a un certificado de este tipo. Este fallo corresponde al problema de la biblioteca registrado como GHSA-p9jg-fcr6-3mhf.
Por otro lado, pgJDBC no fuerza correctamente la opción channelBinding=require en los casos en los que debería hacerlo. ScramAuthenticator únicamente valida que el servidor haya anunciado un mecanismo -PLUS, pero no rechaza un valor de vinculación vacío ni comprueba que el mecanismo finalmente negociado utilice vinculación de canal. Como resultado, la conexión puede degradarse silenciosamente a un modo menos seguro.
Únicamente se ven afectadas las conexiones que configuran channelBinding=require. Con la política predeterminada prefer, y también con las opciones allow o disable, el comportamiento documentado es volver a SCRAM sin vinculación de canal.
Las versiones anteriores a la 42.7.4 no están afectadas, dado que no incluyen soporte para vinculación de canal.

