CVE-2026-14265 – Deserialisierung nicht vertrauenswürdiger Daten im RemoteQueryCachePlugin des AWS Advanced JDBC Wrapper
Bulletin-ID: 2026-051-AWS
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Aufmerksamkeit)
Datum der Veröffentlichung: 01.07.2026, 12:45 Uhr PDT
Beschreibung:
Der AWS Advanced JDBC Wrapper ist ein Open-Source-JDBC-Treiber-Wrapper, der einen JDBC-Treiber erweitert, um Amazon-Aurora- und AWS-Cloud-Funktionen wie Failover-Verarbeitung und Caching zu ermöglichen. Wir haben CVE-2026-14265 identifiziert, eine Schwachstelle im „RemoteQueryCachePlugin“ des AWS Advanced JDBC Wrapper. Wenn dieses Plugin aktiviert ist, werden die aus dem gemeinsamen Redis-/Valkey-Cache gelesenen Abfrageergebnisse ohne Klassenfilterung deserialisiert. Ein Akteur mit Schreibzugriff auf die gemeinsam genutzte Cache-Infrastruktur könnte ein speziell gestaltetes, serialisiertes Java-Objekt einfügen, das beim Auslesen durch eine Anwendung zur Ausführung von beliebigem Code auf dem Anwendungsserver führt.
Betroffene Versionen: >=3.3.0 UND <=4.0.0
Lösung:
Dieses Problem wurde in der Version 4.0.1 von AWS Advanced JDBC Wrapper behoben. Sie sollten ein Upgrade auf die neueste Version vornehmen und dafür sorgen, dass geforkter oder derivativer Code gepatcht wird, damit die neuen Korrekturen enthalten sind.
Umgehungslösungen:
Das RemoteQueryCachePlugin ist standardmäßig nicht aktiviert. Kunden, die nicht sofort ein Upgrade durchführen können, können dieses Problem umgehen, indem sie das RemoteQueryCachePlugin deaktivieren und den Schreibzugriff auf die Redis/Valkey-Cache-Infrastruktur auf vertrauenswürdige Prinzipale beschränken.
Referenzen:
Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.