ID del boletín: 2026-006-AWS
Alcance: AWS
Tipo de contenido: Informativo
Fecha de la publicación: 03/03/2026 10:15 a.m. PST
 

Descripción:

Amazon RDS/Aurora es un servicio de bases de datos relacionales administrado. Identificamos el CVE-2026-3494. En la versión 11.8.5 del servidor MariaDB, cuando el complemento de auditoría del servidor está habilitado con la variable server_audit_events configurada con el filtrado QUERY_DCL, QUERY_DDL o QUERY_DML, si un usuario de base de datos autenticado invoca una sentencia SQL con el prefijo de comentarios de estilo doble guión (—) o hash (#), la sentencia no se registra.

Versiones afectadas:

• Servidor MariaDB (10.6.24 y anteriores, 10.11.15 y anteriores, 11.4.9 y anteriores y 11.8.5 y anteriores)
• Amazon Aurora MySQL (2.12.5 y anteriores, 3.01.0 a 3.04.5, 3.05.1 a 3.10.2 y 3.11.0)
• Amazon RDS para MySQL (5.7.44-RDS.20251212 y anteriores, de 8.0.11 a 8.0.44 y de 8.4.3 a 8.4.7)
• Amazon RDS para MariaDB (10.6.24 y anteriores, de 10.11.4 a 10.11.15, de 11.4.3 a 11.4.9 y de 11.8.3 a 11.8.5)

Resolución:

Este problema se ha solucionado en las siguientes versiones:

• Amazon Aurora MySQL (2.12.6, 3.04.6, 3.10.3 y 3.11.1)
• Amazon RDS para MySQL (5.7.44-RDS.20260212, 8.0.45 y 8.4.8)
• Amazon RDS para MariaDB (10.6.25, 10.11.16, 11.4.10 y 11.8.6)

Recomendamos actualizar a la versión más reciente y verificar que el código derivado o bifurcado incorpore las nuevas revisiones.

Soluciones alternativas:

No hay soluciones alternativas conocidas.

Referencia:

• CVE-2026-3494
   

Dirija cualquier pregunta o inquietud sobre seguridad al correo electrónico aws-security@amazon.com.