CVE-2026-14265 – AWS Advanced JDBC Wrapper の RemoteQueryCachePlugin における信頼できないデータのデシリアライズ
速報 ID: 2026-051-AWS
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2026 年 7 月 1 日 午後 12 時 45 分 (PDT)
説明:
AWS Advanced JDBC Wrapper は、JDBC ドライバーを拡張し、フェイルオーバー処理やキャッシュなどの Amazon Aurora および AWS クラウドの機能を有効にするオープンソースの JDBC ドライバーラッパーです。AWS は、AWS Advanced JDBC Wrapper の RemoteQueryCachePlugin の問題である CVE-2026-14265 を特定しました。このプラグインを有効にすると、共有 Redis/Valkey キャッシュから読み取られたクエリ結果がクラスフィルタリングなしでデシリアライズされます。共有キャッシュインフラストラクチャへの書き込みアクセスを持つアクターが、細工されたシリアライズ済み Java オブジェクトを挿入する可能性があります。アプリケーションがこれを読み取ると、アプリケーションサーバー上で任意のコードが実行される恐れがあります。
影響を受けるバージョン: >=3.3.0 および <=4.0.0
解決方法:
この問題は AWS Advanced JDBC Wrapper バージョン 4.0.1 で解決されました。最新バージョンにアップグレードし、フォークしたコードや派生コードにパッチを適用して新しい修正を反映させることをお勧めします。
回避策:
デフォルトでは、RemoteQueryCachePlugin は有効化されていません。すぐにアップグレードできないお客様は、RemoteQueryCachePlugin を無効にし、Redis/Valkey キャッシュインフラストラクチャへの書き込みアクセスを信頼できるプリンシパルに限定することで、この問題を軽減できます。
参考情報:
セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。