公告 ID：2026-039-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 6 月 5 日下午 12:15（太平洋夏令时）

描述：

Amazon Aurora PostgreSQL 是一款完全托管的关系数据库引擎，与 PostgreSQL 兼容。

我们发现了 CVE-2026-11400（JDBC）和 CVE-2026-11401（Go），这是 Amazon Aurora PostgreSQL 的 AWS Wrapper 中存在的一个问题，可能允许权限升级至 rds_superuser 角色。经过身份验证的低权限用户可以创建一个有意设计的函数，该函数可以通过其他 Amazon Relational Database Service（RDS）用户的权限执行。

受影响的版本：

• AWS Advanced JDBC Wrapper >= 3.0.0 和 < 4.0.1
• AWS Advanced Go Wrapper 版本 2026-04-06

解决方法：

此问题已在 AWS Advanced JDBC Wrapper 版本 4.0.1 和 AWS Advanced Go Wrapper 版本 2026-05-26 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

• 从搜索路径中移除公共架构。

参考：

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper：GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper：GHSA-r236-5pc3-3qcp

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。

。