公告 ID：2026-039-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 6 月 5 日中午 12:15 (太平洋夏令時間)

描述：

Amazon Aurora PostgreSQL 是完全受管的關聯式資料庫引擎，與 PostgreSQL 相容。

我們發現了編號為 CVE-2026-11400 (JDBC) 與 CVE-2026-11401 (Go) 的漏洞：在 AWS Wrappers for Amazon Aurora PostgreSQL 中存在一個問題，可能導致權限提升至 rds_superuser 角色。低權限已驗證使用者可建立特製函數，該函數可能以其他 Amazon 關聯式資料庫服務 (RDS) 使用者的權限執行。

受影響版本：

• AWS Advanced JDBC Wrapper：版本 ≥ 3.0.0 且 < 4.0.1
• AWS Advanced Go Wrapper：2026 年 4 月 6 日釋出的版本

解決方案：

此問題已於以下版本中得以解決：AWS Advanced JDBC Wrapper 版本 4.0.1 和 AWS Advanced Go Wrapper 2026-05-26 釋出的版本。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

• 從搜尋路徑中移除公有結構描述。

參考資料：

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper：GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper：GHSA-r236-5pc3-3qcp

如有任何安全問題或疑慮，請傳送電子郵件至 aws-security@amazon.com。

.