PgBouncer 1.24.1 ya está disponible. Esta versión corrige la CVE-2025-2291, que podía permitir a un atacante eludir la fecha de caducidad de las contraseñas de Postgres. Dicha expiración de contraseña se habría configurado en Postgres utilizando la cláusula VALID UNTIL. Se trata de un problema de seguridad que afecta a todas las versiones de PgBouncer. Si se utiliza tanto VALID UNTIL como auth_user, es necesario actualizar o cambiar la auth_query del archivo de configuración por la nueva auth_query que se utiliza por defecto en esta versión. En caso de que se utilice una auth_query personalizada, deberá ser actualizada para que sea similar a la nueva auth_query utilizada por defecto en esta versión.

Esta versión también corrige la autenticación PAM revirtiendo el soporte para pam en el archivo HBA. La autenticación PAM dejó de funcionar de forma accidental en la versión 1.24.0.

Para más información, el registro de cambios detallado y los enlaces de descarga, consúltese  https://www.pgbouncer.org/2025/04/pgbouncer-1-24-1.

PgBouncer es una herramienta ligera para la gestión de pool de conexiones en PostgreSQL.