PostgreSQL JDBC 团队已发布 42.7.7 版本,以解决 CVE-2025-49146。当 PostgreSQL JDBC 驱动程序配置通道绑定设置为“必需”(默认值为“首选”)时,驱动程序会错误地允许使用不支持通道绑定的身份验证方法(如密码、MD5、GSS 或 SSPI 身份验证)进行的连接继续。这可能允许中间人攻击者拦截用户认为受到通道绑定要求保护的连接。
有关详细信息,请参阅 安全公告。感谢 George MacKerron 发现并报告此问题。