Passer au contenu principal

CVE-2026-14265 – Désérialisation de données non fiables dans le plug-in RemoteQueryCache d’AWS Advanced JDBC Wrapper

ID du bulletin : 2026-051-AWS
Portée : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 01/07/2026 à 12 h 45 (heure du Pacifique)

Description :

AWS Advanced JDBC Wrapper est un wrapper de pilote JDBC open source qui étend un pilote JDBC pour activer les fonctionnalités d’Amazon Aurora et du Cloud AWS, telles que la gestion du basculement et la mise en cache. Nous avons identifié CVE-2026-14265, un problème dans le plug-in RemoteQueryCachePlugin d’AWS Advanced JDBC Wrapper. Lorsque ce plug-in est activé, les résultats des requêtes lus à partir du cache Redis/Valkey partagé sont désérialisés sans filtrage de classe. Un acteur disposant d’un accès en écriture à l’infrastructure de cache partagée pourrait insérer un objet Java sérialisé spécialement conçu qui, lorsqu’il est lu par une application, entraîne l’exécution de code arbitraire sur le serveur d’applications.

Versions concernées : >=3.3.0 ET <=4.0.0

Résolution :

Ce problème a été résolu dans la version 4.0.1 d’AWS Advanced JDBC Wrapper. Nous vous recommandons de passer à la dernière version et de vous assurer que tout code dérivé ou forké est mis à jour afin d’intégrer les nouveaux correctifs.

Solutions de contournement :

Le plug-in RemoteQueryCachePlugin n’est pas activé par défaut. Les clients qui ne peuvent pas effectuer immédiatement la mise à niveau peuvent atténuer ce problème en désactivant le plug-in RemoteQueryCachePlugin et en limitant l’accès en écriture à l’infrastructure de cache Redis/Valkey aux principaux de confiance.

Références :


Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.