佈告欄 ID：AWS-2025-028
範圍： AWS
內容類型： 重要 (需要注意)
發布日期：2025 年 11 月 10 日上午 10:15 (太平洋夏令時間)

描述：

Amazon Aurora PostgreSQL 是完全受管的關聯式資料庫引擎，與 PostgreSQL 相容。

我們發現了 CVE-2025-12967，這是 AWS Wrappers for Amazon Aurora PostgreSQL 中的一個問題，可能導致權限提升至 rds_superuser 角色。低權限已驗證使用者可建立特製函數，該函數可能以其他 Amazon 關聯式資料庫服務 (RDS) 使用者的權限執行。

受影響版本：

• AWS JDBC Wrapper <2.6.5
• AWS Go Wrapper <2025-10-17
• AWS NodeJS Wrapper <2.0.1
• AWS Python Wrapper <1.4.0
• AWS ODBC 驅動程式 <1.0.1

解決方案：

建議客戶升級至以下版本：

• AWS JDBC Wrapper 升級至 v2.6.5
• AWS Go Wrapper 升級至 2025-10-17
• AWS NodeJS Wrapper 升級至 v2.0.1
• AWS Python Wrapper 升級至 v1.4.0
• AWS PGSQL ODBC 驅動程式升級至 v1.0.1

變通方法：

從搜尋路徑中移除公有結構描述。

參考資料：

• CVE-2025-12967
• GHSA-4jvf-wx3f-2x8q
• GHSA-7xw4-g7mm-r4hh
• GHSA-q327-fgm8-7mxf
• GHSA-7wq2-32h4-9hc9
• GHSA-8wj8-cfxr-9374

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。