Saltar al contenido principal

CVE-2026-14265: Deserialización de datos no confiables en RemoteQueryCachePlugin de AWS Advanced JDBC Wrapper

ID del boletín: 2026-051-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 01/07/2026 12:45 h PDT

Descripción:

AWS Advanced JDBC Wrapper es un contenedor de controladores JDBC de código abierto que amplía un controlador JDBC para habilitar las características de Amazon Aurora y AWS Cloud, como la gestión de la conmutación por error y el almacenamiento en caché. Identificamos la vulnerabilidad CVE-2026-14265, un problema en RemoteQueryCachePlugin de AWS Advanced JDBC Wrapper. Cuando este complemento está habilitado, los resultados de las consultas leídos desde la caché compartida de Redis/Valkey se deserializan sin filtrar las clases. Un actor con acceso de escritura a la infraestructura de caché compartida podría insertar un objeto Java serializado diseñado para que, al ser leído por una aplicación, provocara la ejecución de código arbitrario en el servidor de aplicaciones.

Versiones afectadas: >=3.3.0 Y <=4.0.0

Resolución:

Este problema se solucionó en la versión 4.0.1 de AWS Advanced JDBC Wrapper. Recomendamos actualizar a la versión más reciente y asegurarse de que cualquier código bifurcado o derivado haya sido actualizado para incorporar las nuevas revisiones.

Soluciones alternativas:

RemoteQueryCachePlugin no está habilitado de forma predeterminada. Los clientes que no puedan realizar una actualización inmediata pueden mitigar este problema deshabilitando RemoteQueryCachePlugin y restringiendo el acceso de escritura a la infraestructura de caché de Redis/Valkey a las entidades principales de confianza.

Referencias:


Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.