ID del boletín: 2026-039-AWS
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 05/06/2026 12:15 h PDT

Descripción:

Amazon Aurora PostgreSQL es un motor de base de datos relacional completamente administrado compatible con PostgreSQL.

Identificamos las vulnerabilidades CVE-2026-11400 (JDBC) y CVE-2026-11401 (Go), un problema en los contenedores de AWS para Amazon Aurora PostgreSQL que permitirá el escalado de privilegios al rol rds_superuser. Un usuario autenticado con pocos privilegios puede crear una función diseñada que podría ejecutarse con los permisos de otros usuarios de Amazon Relational Database Service (RDS).

Versiones afectadas:

• AWS Advanced JDBC Wrapper: >=3.0.0 y <4.0.1
• AWS Advanced Go Wrapper: lanzamiento 2026-04-06

Resolución:

Este problema se solucionó en la versión 4.0.1 de AWS Advanced JDBC Wrapper y en el lanzamiento 2026-05-26 de AWS Advanced Go Wrapper. Recomendamos actualizar a la versión más reciente y verificar que cualquier código derivado o bifurcado incorpore las nuevas correcciones.

Soluciones alternativas:

• Elimine el esquema público de la ruta de búsqueda.

Referencias:

• CVE-2026-11400
• CVE-2026-11401
• AWS Advanced JDBC Wrapper: GHSA-mhww-p97m-3368
• AWS Advanced Go Wrapper: GHSA-r236-5pc3-3qcp

Si tiene alguna pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.

.