Aumento dei privilegi in Aurora PostgreSQL utilizzando AWS JDBC Wrapper, AWS Go Wrapper, AWS NodeJS Wrapper, AWS Python Wrapper, driver AWS PGSQL ODBC
ID Bollettino: AWS-2025-028
Ambito:
AWS
Tipo di contenuto:
importante (richiede attenzione)
Data di pubblicazione: 10/11/2025 10:15 PDT
Descrizione:
Amazon Aurora PostgreSQL è un motore di database relazionale completamente gestito compatibile con PostgreSQL.
Abbiamo identificato CVE-2025-12967, un problema nei wrapper AWS per Amazon Aurora PostgreSQL che potrebbe consentire l’aumento dei privilegi al ruolo rds_superuser. Un utente autenticato con privilegi limitati può creare una funzione predisposta che potrebbe essere eseguita con le autorizzazioni di altri utenti di Amazon Relational Database Service (RDS).
Versioni interessate:
- Wrapper AWS JDBC <2.6.5
- Wrapper AWS Go <2025-10-17
- Wrapper AWS NodeJS <2.0.1
- Wrapper AWS Python <1.4.0
- Driver AWS ODBC <1.0.1
Risoluzione:
consigliamo ai clienti di effettuare l’aggiornamento alle seguenti versioni:
- Wrapper AWS JDBC alla versione 2.6.5
- Wrapper AWS Go alla versione 2025-10-17
- Wrapper AWS NodeJS alla versione 2.0.1
- Wrapper AWS Python alla versione 1.4.0
- Driver ODBC AWS PGSQL alla versione 1.0.1
Soluzioni alternative:
rimuovere lo schema pubblico dal percorso di ricerca.
Riferimenti:
- CVE-2025-12967
- GHSA-4jvf-wx3f-2x8q
- GHSA-7xw4-g7mm-r4hh
- GHSA-q327-fgm8-7mxf
- GHSA-7wq2-32h4-9hc9
- GHSA-8wj8-cfxr-9374
Per eventuali domande o dubbi sulla sicurezza, inviare un’e-mail all’indirizzo aws-security@amazon.com.