公告 ID：AWS-2025-028
范围： AWS
内容类型： 重要提示（需要注意）
发布日期：2025 年 11 月 10 日上午 10:15（太平洋夏令时）

描述：

Amazon Aurora PostgreSQL 是一款完全托管的关系数据库引擎，与 PostgreSQL 兼容。

我们发现了 CVE-2025-12967，这是 Amazon Aurora PostgreSQL 的 AWS 包装器中存在的一个问题，可能允许权限升级至 rds_superuser 角色。经过身份验证的低权限用户可以创建一个精心构造的函数，该函数可以通过其他 Amazon Relational Database Service（RDS）用户的权限执行。

受影响的版本：

• AWS JDBC 包装器：<2.6.5
• AWS Go 包装器：<2025-10-17
• AWS NodeJS 包装器：<2.0.1
• AWS Python 包装器：<1.4.0
• AWS ODBC 驱动程序：<1.0.1

解决方法：

我们建议客户升级到以下版本：

• AWS JDBC 包装器：升级至 v2.6.5
• AWS Go 包装器：升级至 2025-10-17
• AWS NodeJS 包装器：升级至 v2.0.1
• AWS Python 包装器：升级至 v1.4.0
• AWS PGSQL ODBC 驱动程序：升级至 v1.0.1

临时措施：

从搜索路径中移除公共架构。

参考：

• CVE-2025-12967
• GHSA-4jvf-wx3f-2x8q
• GHSA-7xw4-g7mm-r4hh
• GHSA-q327-fgm8-7mxf
• GHSA-7wq2-32h4-9hc9
• GHSA-8wj8-cfxr-9374

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。