CVE-2026-42198

Nome do Software Vulnerável e Versões Afetadas pgjdbc versões 42.2.0 até 42.7.10

Descrição Ocorre uma negação de serviço no lado do cliente durante a autenticação SCRAM-SHA-256. Um servidor malicioso pode forçar o driver a executar a autenticação SCRAM usando uma contagem de iterações excessivamente alta, fazendo com que o cliente consuma uma quantidade ilimitada de tempo de CPU dentro do processo PBKDF2 (Password-Based Key Derivation Function 2). Isso pode ocupar um núcleo de CPU por tentativa, e tentativas simultâneas podem esgotar os recursos de CPU do cliente e travar os pools de conexão. O parâmetro loginTimeout não mitiga totalmente este problema, pois a thread de trabalho pode continuar a computação PBKDF2 mesmo após a expiração do tempo limite.

Recomendações Atualizar para a versão 42.7.11.