Pular para o conteúdo principal

CVE-2026-14265: desserialização de dados não confiáveis no AWS Advanced JDBC Wrapper RemoteQueryCachePlugin

ID do boletim: 2026-051-AWS
Escopo: AWS
Tipo de conteúdo: importante (requer atenção)
Data da publicação: 01/07/2026 12h45 PDT

Descrição:

O AWS Advanced JDBC Wrapper é um wrapper de driver JDBC de código aberto que amplia um driver JDBC para habilitar recursos do Amazon Aurora e da Nuvem AWS, como tratamento de failover e armazenamento em cache. Identificamos o CVE-2026-14265, um problema no RemoteQueryCachePlugin do AWS Advanced JDBC Wrapper. Quando esse plug-in está ativado, os resultados da consulta lidos do cache compartilhado do Redis/Valkey são desserializados sem filtragem de classes. Um invasor com acesso de gravação à infraestrutura de cache compartilhada pode inserir um objeto Java serializado criado que, quando lido por uma aplicação, resulta na execução de código arbitrário no servidor da aplicação.

Versões afetadas: >=3.3.0 E <=4.0.0

Resolução:

Este problema foi resolvido na versão 4.0.1 do AWS Advanced JDBC Wrapper. Recomendamos atualizar para a versão mais recente e garantir que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.

Soluções alternativas:

O RemoteQueryCachePlugin não está habilitado por padrão. Os clientes que não podem fazer o upgrade imediatamente podem atenuar esse problema desativando o RemoteQueryCachePlugin e restringindo o acesso de gravação à infraestrutura de cache Redis/Valkey a entidades principais confiáveis.

Referências:


Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação sobre segurança.