CVE-2026-42198 in pgjdbcinfo

Zusammenfassung

von VulDB • 20.05.2026

pgjdbc ist ein Open-Source-JDBC-Treiber für PostgreSQL. Ab Version 42.2.0 bis vor Version 42.7.11 ist pgjdbc anfällig für einen clientseitigen Denial-of-Service-Angriff während der SCRAM-SHA-256-Authentifizierung. Ein bösartiger Server kann den Treiber anweisen, eine SCRAM-Authentifizierung mit einer sehr hohen Iterationsanzahl durchzuführen. Bei einem ausreichend großen Wert verbraucht der Client eine unbegrenzte Menge an CPU-Zeit innerhalb von PBKDF2, bevor die Authentifizierung fehlschlägt. Ein einzelner Versuch bindet einen CPU-Kern. Wiederholte oder gleichzeitige Versuche erschöpfen die CPU-Ressourcen des Clients und können Verbindungs-Pools blockieren. In betroffenen Versionen milderte loginTimeout dieses Problem nicht vollständig ab. Wenn das loginTimeout abgelaufen war, konnte der Aufrufer das Warten abbrechen, aber der Worker-Thread, der den Verbindungsversuch durchführte, konnte weiterhin ausgeführt werden und CPU-Zeit innerhalb der SCRAM-PBKDF2-Berechnung verbrauchen. Dieses Problem wurde in Version 42.7.11 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

25.04.2026

Veröffentlichung

29.04.2026

Moderieren

akzeptiert

Eintrag

VDB-360172

CPE

bereit

EPSS

0.00043

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42198
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42198
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42198/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!