CVE-2026-14265 - AWS Advanced JDBC Wrapper RemoteQueryCachePlugin 中不受信任数据的反序列化
公告 ID:2026-051-AWS
范围:AWS
内容类型:重要提示(需要注意)
发布日期:07/01/2026 12:45 PM PDT
描述:
AWS Advanced JDBC Wrapper 是一个开源的 JDBC 驱动程序包装器,它扩展 JDBC 驱动程序以启用 Amazon Aurora 和 AWS 云功能,例如失效转移处理和缓存。我们已发现 CVE-2026-14265,这是 AWS Advanced JDBC Wrapper 的 RemoteQueryCachePlugin 中存在的问题。启用此插件后,从共享 Redis/Valkey 缓存中读取的查询结果未经类筛选就进行反序列化。拥有共享缓存基础设施写入权限的行为者可以插入蓄意构造的序列化 Java 对象,当应用程序读取该对象时,会导致在应用程序服务器上执行任意代码。
受影响的版本:>=3.3.0 和 <=4.0.0
解决方法:
此问题已在 AWS Advanced JDBC Wrapper 版本 4.0.1 中予以解决。建议您升级到最新版本,并确保对任何分叉代码或派生代码进行修补,以纳入新的修复程序。
临时措施:
默认情况下,RemoteQueryCachePlugin 未启用。无法立即升级的客户可以通过禁用 RemoteQueryCachePlugin,并将对 Redis/Valkey 缓存基础设施的写入访问权限限制为受信任主体来缓解此问题。
参考:
如有任何安全问题或疑虑,请发送电子邮件至 aws-security@amazon.com。