CVE-2026-14265 - AWS Advanced JDBC Wrapper RemoteQueryCachePlugin에서 발생한 신뢰할 수 없는 데이터의 역직렬화
공지 ID: 2026-051-AWS
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2026년 7월 1일 오후 12시 45분(PDT)
설명:
AWS Advanced JDBC Wrapper는 장애 조치 처리 및 캐싱과 같은 Amazon Aurora 및 AWS 클라우드 기능을 사용할 수 있도록 JDBC 드라이버를 확장하는 오픈 소스 JDBC 드라이버 래퍼입니다. AWS Advanced JDBC Wrapper의 RemoteQueryCachePlugin에서 CVE-2026-14265 문제를 확인했습니다. 이 플러그인이 활성화되면 공유 Redis/Valkey 캐시에서 읽은 쿼리 결과가 클래스 필터링 없이 역직렬화됩니다. 공유 캐시 인프라에 대한 쓰기 권한이 있는 행위자가 조작되고 직렬화된 Java 객체를 삽입하면 애플리케이션이 이를 읽을 때 애플리케이션 서버에서 임의 코드가 실행될 수 있습니다.
영향을 받는 버전: 3.3.0 이하 버전 및 4.0.0 이하 버전
해결 방법:
이 문제는 AWS Advanced JDBC Wrapper 버전 4.0.1에서 해결되었습니다. 최신 버전으로 업그레이드하고, 새로운 수정 사항이 반영되도록 포크되거나 파생된 코드에 패치를 적용하는 것이 좋습니다.
대안:
RemoteQueryCachePlugin은 기본적으로 활성화되어 있지 않습니다. 즉시 업그레이드할 수 없는 고객은 RemoteQueryCachePlugin을 사용하지 않도록 설정하고 Redis/Valkey 캐시 인프라에 대한 쓰기 액세스를 신뢰할 수 있는 주체로 제한하여 이 문제를 완화할 수 있습니다.
참고 사항:
보안 관련 질문이나 우려 사항이 있는 경우 이메일 aws-security@amazon.com을 통해 문의하세요.