跳至主要內容

CVE-2026-14265 - AWS Advanced JDBC Wrapper RemoteQueryCachePlugin 中不受信任資料的還原序列化

公告 ID:2026-051-AWS
範圍:AWS
內容類型:重要 (需要注意)
發布日期:07/01/2026 12:45 PM PDT

描述:

AWS Advanced JDBC Wrapper 是開放原始碼的 JDBC 驅動器包裝函式,其擴展 JDBC 驅動器,以啟用 Amazon Aurora 和 AWS 雲端功能,例如容錯移轉處理和快取。我們已發現 CVE-2026-14265,這是 AWS Advanced JDBC Wrapper 的 RemoteQueryCachePlugin 中存在的問題。啟用此外掛程式時,從共用 Redis/Valkey 快取讀取的查詢結果將在沒有類別篩選的情況下還原序列化。擁有共用快取基礎設施寫入存取權的行為者可以插入一個精心構造的序列化 Java 物件。當應用程式讀取該物件時,會導致在應用程式伺服器上執行任意程式碼。

受影響版本:>=3.3.0 和 <=4.0.0

解決方案:

此問題已在 AWS 進階 JDBC 包裝程式版本 4.0.1 中解決。建議您升級至最新版本,並確保所有分支或衍生程式碼皆已套用修補程式,以納入最新修正。

變通方法:

依預設,RemoteQueryCachePlugin 是未啟用的。無法立即升級的客戶可以停用 RemoteCheryCachePlugin,並將 Redis/Valkey 快取基礎設施的寫入存取權限制為受信任的主體,以此緩解此問題。

參考資料:


如有任何安全問題或疑慮,請傳送電子郵件至 aws-security@amazon.com