ID du bulletin : 2026-039-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 05/06/2026 à 12 h 15 (heure du Pacifique)

Description :

Amazon Aurora PostgreSQL est un moteur de base de données relationnelle entièrement géré compatible avec PostgreSQL.

Nous avons identifié le problème CVE-2026-11400 (JDBC)/CVE-2026-11401 (Go) dans les wrappers AWS pour Amazon Aurora PostgreSQL pouvant permettre une élévation des privilèges vers le rôle rds_superuser. Un utilisateur authentifié à faibles privilèges peut créer une fonction spécialement conçue qui pourrait être exécutée avec les autorisations d’autres utilisateurs d’Amazon Relational Database Service (RDS).

Versions affectées :

• AWS Advanced JDBC Wrapper >= 3.0.0 et < 4.0.1
• AWS Advanced Go Wrapper version 2026-04-06

Résolution :

Ce problème a été résolu dans la version 4.0.1 d’AWS Advanced JDBC Wrapper et la version 2026-05-26 d’AWS Advanced Go Wrapper. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké soit mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

• Supprimez le schéma public du chemin de recherche.

Références :

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper : GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper : GHSA-r236-5pc3-3qcp

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.

.